.png)
¿Es posible recuperar un archivo de una imagen de disco (imagen agregada) si el encabezado/pie de página y la firma se han alterado/modificado o eliminado?
Quiero decir, por ejemplo, si se ha eliminado o cambiado la firma de la imagen de mapa de bits (0x42 0x4d) o incluso los primeros 30 bytes.
En caso negativo, ¿cuál es la forma alternativa de recuperar ese archivo que no se base en la firma del archivo? Si es posible ¿cómo se hace?
Respuesta1
En su lugar, puede analizar la estructura residual del sistema de archivos.
Por ejemplo, ella familia FAT de sistemas de archivosindicar que un archivo ha sido eliminado sobrescribiendo el primer byte del nombre del archivo en una entrada de directorio con el valor de byte 0x3F. El resto de los metadatos (incluida la mayor parte del nombre del archivo) seguirán allí inmediatamente después de la eliminación, por lo que un programa que acceda al disco directamente en lugar de a través del sistema operativo puede encontrar fácilmente el archivo, que es como funciona el comando "recuperar" de DOS. .
Otros sistemas de archivos son similares, aunque generalmente hay menos información disponible: la familia FAT es especialmente fácil de recuperar archivos.
Respuesta2
Podría hacerlo si tuviera alguna idea de qué buscar y dónde buscar. Un mapa de bits (sin comprimir) tiene propiedades estadísticas específicas y es posible que puedas reconstruirlo.
Saber de antemano un rango probable para el ancho de la imagen sería, por ejemplo, inmensamente beneficioso. También sería útil conocer su cromaticidad aproximada.
El verdadero problema probablemente será que el archivo en sí se divida en sectores no contiguos y la información necesaria para volver a armarlo también se haya borrado. Un mapa de bits lo suficientemente pequeño como para caber en un único grupo de sistema de archivos tendría las mejores posibilidades.
Otra posibilidad muy real a considerar es que lo que sea que borró los primeros bytes también borró los restantes, o una porción suficientemente significativa de ellos, haciendo que la recuperación no valga la pena, si es que es posible.
Para intentar recuperar un mapa de bits DIB sin comprimir, buscaría secuencias de bytes con la propiedad de que los valores varían en tripletes (es decir, dada una secuencia de N bytes, la correlación entre los píxeles tomados con el índice módulo tres es significativamente mayor que con cualquier otro índice no múltiplo de tres). Luego, comprobaría si existe una correlación similar con un índice más alto, que es el ancho de fila redondeado al múltiplo de cuatro más cercano. Se requiere más análisis para determinar el inicio/detención de la fila.
Sin saber más sobre el caso específico (sistema de archivos, formato de mapa de bits real utilizado, tamaño del mapa de bits,cómo se eliminó/sobrescribió, dd tamaño de la imagen, motivo de la operación), no podría darle más que un "quizás" en cuanto a las posibilidades de recuperación.