T E L K O M N I K T elec o m m un ica t io n,  Co m pu t ing ,   E lect ro nics   a nd   Co ntr o l   Vo l.   1 9 ,   No .   1 Feb r u ar y   2 0 2 1 ,   p p .   7 3 ~ 78   I SS N:  1 6 9 3 - 6 9 3 0 ,   ac cr ed ited   First Gr ad b y   Kem en r is tek d i k ti,  Dec r ee   No : 2 1 /E/KPT /2 0 1 8   DOI : 1 0 . 1 2 9 2 8 /TE L KOM NI K A. v 1 9 i 1 . 1 6 2 7 6     73       J o ur na l ho m ep a g e h ttp : //jo u r n a l.u a d . a c. id /in d ex . p h p /TELK OM N I K A   Co mpa riso n of data  rec o v e ry  t ec hni ques o n ma ster  f il e t a ble  betwee Aho - Co r a sick   a nd log ica l data  rec o v ery ba sed o eff icie ncy       H us s ei n Is m a el  Sa hib 1 ,   Nur u l H ida y a h Ab  Ra hm a n 2 ,   Ali K a ze m   Al - Q a y s i 3 ,   M o t ha na   L .   At t ia h 4   1 , 2 De p a rtme n o I n f o rm a ti o n   S e c u rit y ,   F a c u lt y   o Co m p u ter S c ien c e   a n d   In f o rm a ti o n   Tec h n o l o g y   Un iv e rsit i   T u n   Hu ss e in   O n n   M a lay sia ,   M a lay sia   3 De p a rtme n o Tele c o m m u n ica ti o n s a n d   i n fo rm a ti o n   sy ste m s ,   F a c u lt y   o S c h o o o Co m p u ter  S c ien c e   a n d     El e c tro n ic E n g i n e e rin g ,   Un i v e rsit y   Esse x U n it e d   Ki n g d o m   4 De p a rtme n o Co m p u ter E n g in e e rin g ,   El e c tri c a En g in e e rin g   Tec h n ica Co ll e g e ,   M id d le T e c h n ica Un iv e rsity ,   Ba g h d a d ,   Ira q       Art icle  I nfo     AB S T RAC T   A r ticle  his to r y:   R ec eiv ed   Ap r   7 ,   2 0 2 0   R ev is ed   J u l 1 0 ,   2 0 2 0   Acc ep ted   Au g   2 9 ,   2 0 2 0       Da ta  re c o v e ry   is  o n e   o t h e   t o o ls u se d   to   o b tain   d ig it a fo re n sic fro m   v a rio u s   sto ra g e   m e d ia  t h a re ly   e n t irely   o n   th e   fil e   s y ste m   u se d   to   o r g a n ize   fil e in   t h e se   m e d ia.  In   th is   p a p e r,   two   o f   th e   late st  tec h n iq u e o f   fil e   re c o v e ry   fro m   fi le  sy ste m   (n e te c h n o l o g y   fi le  sy ste m   ( NTF S ))   l o g ica d a ta  re c o v e ry ,   A ho - C o ra sic k   d a ta   re c o v e ry   we re   stu d ied ,   e x a m in e d   a n d   a   p ra c ti c a c o m p a riso n   wa m a d e   b e twe e n   t h e se   two   tec h n iq u e a c c o rd i n g   to   t h e   sp e e d   a n d   a c c u ra c y   fa c to rs  u sin g   t h re e   g lo b a d a tas e ts.  It  wa n o ted   t h a a ll   p re v i o u stu d ies   in   th is   field   c o m p lete ly   i g n o re d   t h e   ti m e   c rit e rio n   d e sp it e   th e   imp o rta n c e   o th is  sta n d a rd .   On   th e   o t h e h a n d ,   a l g o r it h m d e v e lo p e d   wit h   o t h e a lg o ri th m we re   n o c o m p a re d .   T h e   p r o p o se d   c o m p a riso n   o th is  p a p e a ims   to   d e tec th e   we a k n e ss e a n d   stre n g t h   o f   b o th   a lg o rit h m t o   d e v e l o p   a   n e a lg o ri th m   t h a is   m o re   a c c u ra te  a n d   fa ste th a n   b o t h   a lg o rit h m s.  Th e   p a p e c o n c lu d e d   th a th e   lo g ica a l g o ri th m   wa su p e rio r   to   t h e   Ah o - C o ra sic k   a l g o ri th m   a c c o r d in g   t o   t h e   sp e e d   c rit e rio n ,   wh e re a s th e   a lg o r it h m s g a v e   t h e   sa m e   re su lt s   a c c o rd in g   to   th e   a c c u ra c y   c r it e rio n .   T h e   p a p e lea d to   a   se o su g g e sti o n f o fu t u re   re se a r c h   a ime d   a a c h iev in g   a   h ig h ly   e ffici e n a n d   h i g h - s p e e d   d a ta  re c o v e ry   a lg o rit h m   su c h   a s th e   fil e - c a rv i n g   a lg o r it h m .   K ey w o r d s :   Acc u r ac y   Ah o - C o r asick   alg o r ith m   Data   r ec o v er y   Dig ital f o r en s ics   L o g ical  alg o r ith m   Ma s ter   f ile  tab le    New   tech n o lo g y   f ile  s y s tem   T im e   T h is i a n   o p e n   a c c e ss   a rticle   u n d e th e   CC B Y - SA   li c e n se .     C o r r e s p o nd ing   A uth o r :   Hu s s ein   I s m ae l Sah ib   Dep ar tm en t o f   I n f o r m at i o n   Secu r ity   Facu lty   o f   C o m p u ter   Scien ce   an d   I n f o r m atio n   T ec h n o lo g y   Un iv er s it i   T u n   Hu s s ein   On n   Ma lay s ia  ( UT HM )   8 6 4 0 0   Par it R aja,   J o h or ,   Ma la y s ia     E m ail:  en g . h u s s ien is s m ail@ g m ail. co m       1.   I NT RO D UCT I O N   Data   r ec o v er y   alg o r ith m s   p lay   an   ef f ec tiv r o le  d u r i n g   d ig ita l in v esti g ativ p r o ce d u r es   s o   th d ata  o n   co m p u ter   h ar d war h as  b ec o m o n e   o f   th e   m o s im p o r tan t   cr im in al  e v id en ce   s o u g h b y   in v esti g ato r s ,   in   th e   Un ited   States   a lo n e,   th FB I   r e p o r ted   o v er   3 0 0 , 0 0 0   co m p lain t s   o f   o n lin cr im in al  ac tiv ity   in   2 0 1 1   [ 1 - 5 ] ,   co s tin g   n ea r ly   $ 5 0 0 , 0 0 0 , 0 0 0 .   Data   r e co v er y   d ep e n d s   p r im ar ily   o n   th f ile  s y s tem   u s ed   to   s to r e   an d   f o r m at  d ata  in   d if f er en v o lu m es  ( n ew  tech n o lo g y   f ile  s y s tem   ( NT FS ) ,   f ile  allo ca tio n   tab le  ( FAT) ,   ex ten s io n   ( E XT ) ,   ANDROI D)   [ 6 - 1 1 ] .   All  p r ev i o u s   f ile  s y s tem s   d o   n o d elete   d a ta  co m p letely   [ 1 2 ,   1 3 ] .   I n   o t h er   wo r d ,   f ile  s y s tem s   Evaluation Warning : The document was created with Spire.PDF for Python.
                    I SS N :   1 6 9 3 - 6 9 3 0   T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l Vo l.  1 9 ,   No .   1 Feb r u ar y   202 1 :    7 3   -   78   74   d o   n o r em o v d ata  f r o m   s to r a g m ed ia  b ec a u s it  is   tim e - co n s u m in g   [ 1 4 ] .   I n   th is   r esear ch ,   th s tr u ctu r o f   th e   NT FS   f ile  s y s tem   h as  b ee n   s tu d ied   b ec au s o f   th s y s tem   s p r ea d s   ar o u n d   th wo r ld   a n d   th d esira b ilit y   o f   m an y   u s er s   [ 1 5 ,   1 6 ] .   T h e   m ajo r ity   o f   th p r ev i o u s   r esear ch   is   class if ied   ac co r d i n g   to   two   ca teg o r ie s th f ir s d escr ib es  th s tr u ctu r o f   th NT FS   f ile  s y s tem ,   an d   th s ec o n d   ty p o f   r esear ch   was a s   f ew  a s   we   m en tio n ed . T h is   wo r k   w as  f o u n d   to   p r o v id e   a   d etail  d escr ip tio n   o f   th s tr u ct u r o f   th NT FS   f ile  s y s tem ,   esp ec i ally   th m aster   f ile   tab le   ( MFT )   s tr u ctu r e   [ 1 7 ] ,   w h ich   is   th h ea r t o f   th NT FS   f ile  s y s tem   an d   is   th b asis   f o r   f ile  r ec o v er y   f o r   t h e   tar g et  f ile  s y s tem   [ 1 8 - 2 0]   T h p r e v io u s   s tu d ie s   wer lim ited   to   s tu d y   o n   th e   ef f ec tiv en ess   o f   o n e   alg o r ith m   o n ly   lik e     Ah o - C o r asick   d ata  r ec o v e r y   alg o r ith m   [ 2 1 2 2] .   On   th o th er   h a n d ,   th is   a lg o r ith m   th e   tim cr iter io n   was   n eg lecte d   k n o win g   t h at  th s p ee d   o f   p er f o r m an ce   is   o n o f   th m o s im p o r ta n f ac to r s   in   th f ield   o f   d ig ital  in v esti g atio n   [ 2 3 ] .   W h ile  th l o g ical  d ata  r ec o v er y   alg o r ith m   [ 2 4 ] ,   h as  ad o p te d   s in g le   d ata  s et  to   s tu d y   th ef f ec tiv en ess   o f   th lg o r ith m   an d   d id   n o tak i n to   ac co u n o v er s tatem en ts   s u ch   as  th s tu d y   o f   wh e r   non - g lo b al  d ata  s et  co n s is tin g   o f   n in f iles   with   v ar ied   ty p e s   with o u o v er wr ite  an d   n eg le cted   th o v er wr ite  d ata.   Mo r eo v e r ,   th is   p ap er   f o u n d   f ew  s tu d ies  th at  in v esti g ate  d ata  r ec o v er y   alg o r i th m s   an d   ig n o r th tim e   f ac to r   ( s p ee d )   i n   r esear ch   av ail ab le  in   th is   f ield .   On   th o th e r   h an d ,   alg o r ith m s   d ev el o p ed   wi th   o th er   alg o r ith m s   wer n o co m p a r ed .   I n   th is   p ap er ,   th is   s tu d y   in tr o d u ce d   p r ac tical  an d   ef f ec tiv c o m p a r is o n   b etwe en   d ata   r etr iev al  a lg o r ith m s   ( d ata  r ec o v er y   u s in g   A ho - C o r asick   alg o r ith m ,   lo g ical  d ata   r ec o v er y   al g o r ith m )   an d   th r ee   d atasets   ( DF R - 0 9   [ 2 5 ] ,   T 5   co r p u s   with o u o v er wr ite,   T 5   co r p u s   with   o v er wr ite  )   b ased   o n   th NT FS   f ile   s y s tem ,   to   d eter m in th eir   ef f icien c y   a n d   th eir   ab ilit y   to   r ec o v er   d ele ted   d ata  in   th s h o r test   p o s s ib le  tim an d   with   th e   g r ea test   p o s s ib le  ef f ec tiv en ess   f r o m   s to r ag d e v ices  u s in g   v is u al  s tu d io   C   p r o g r am m in g   lan g u a g e.   T h is   co m p ar is o n   will  clea r ly   s h o t h s tr en g th s   an d   wea k n ess es  o f   ea ch   o f   th alg o r ith m s   p r e s en ted ,   wh ich   is   k ey   p o i n t   i n   t h e   d e v e l o p m e n t   o f   t h e s e   a l g o r i t h m s   b a s e d   o n   t h e   ti m n e e d e d   t o   r e s t o r e   d a t a   a n d   t h e   s i z e   o f   d a t a   r e s t o r e d .       2.   RE S E ARCH   M E T H O D     Fil r ec o v er y   tech n i q u es  an d   t o o ls   ar m an y ,   v ar ied   a n d   ar co n s tan tly   ev o lv i n g .   E ac h   tech n iq u h as   wea k n ess es  an d   s tr en g th s   th at   d is tin g u is h   th em   f r o m   th r es o f   th tech n iq u es.  T h er e f o r e,   th er is   q u esti o n   th at  alwa y s   ask s   wh ich   tech n iq u es  s h o u ld   b u s ed   to   r esto r e   d ata  as  q u ick ly   an d   ef f icien tl y   as  p o s s ib le.   T h is   s tu d y   s h o wed   th m o s t   im p o r tan m o d er n   tech n i q u es  an d ,   in   th is   s ec tio n ,   in   p ar ticu lar ,   m ec h an is m   was   d ev elo p e d   to   co m p ar th ese  tech n iq u es  b ased   o n   two   m ain   v ar iab les:   s p ee d   an d   ac cu r a c y .   Pro p o s ed   m et h o d   th g en er al  a r ch itectu r o f   p r o p o s ed   m eth o d   is   illu s tr ated   in   Fig u r 1 .           Fig u r 1 .   T h g e n er al  ar ch itec tu r o f   t h p r o p o s ed   m eth o d       I n   Fig u r 1   we  p r o p o s ed   o u r   m eth o d o l o g y   to   co m p ar two   alg o r ith m s   ac co r d in g   ac cu r ac y   an d   s p ee d   th at  ca n   b d escr ib ed   in   s ev e r a l step s   as f o llo ws:   a.   I n p u s tag e   Du r in g   t h is   p h ase,   t h r ee   d if f er en d ata  s ets  will  b e   lo ad ed ,   a n d   th e   co n ten ts   an d   s ize  o f   ea ch   d ata   s et  will  b r ec o r d ed .   T h is   s tu d y ,   t h r ee   d ata   s ets  wer s elec ted   th at  in clu d ed   d if f e r en ty p es  o f   d ata  in   d if f er en s izes  Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r is o n   o f d a ta   r ec o ve r t ec h n iq u es o n   ma s ter file ta b le  b etw ee n … ( Hu s s ein   I s ma el  S a h ib )   75   (1 st  d ataset  it  is   D FR - 0 9 ,   2 nd  d ata s et  it  is   th T 5   co r p u s   with o u o v er wr ite  an d   3 nd   d ataset  it  is   th T 5   co r p u s     with   o v er wr ite.   b.   Activ ities   s tag e   Du r in g   t h is   p h ase,   a   s er ies  o f   ac tio n s   will  b u n d er ta k en ,   in clu d in g :    t h f ir s t,  d esig n in g   p r o g r a m   to   r esto r f iles   ac co r d in g   to   tech n iq u “f ile  u n d elete d   u s in g   th Ah o - C o r asick   alg o r ith m ”  u s in g   C   p r o g r am m i n g   lan g u ag e.   An d   s ec o n d ,   d esig n in g   a   p r o g r a m   to   r esto r e   f il es  ac co r d in g   to   tech n iq u “l o g ical  d ata  r ec o v er y   alg o r ith m    u s in g   C   p r o g r am m in g   lan g u ag e.   D u r in g   th is   s tu d y ,   th r ee   d ata  s ets  wer s elec ted   th at  in clu d e d   d if f er en t ty p es o f   d ata  in   d if f e r en t sizes.  T ab le  1   s h o ws th t h r ee   d ata  s ets an d   th s o u r ce s   o f   th ese  d ata  s ets .       T ab le  1 .   Used   d atasets   an d   its   s o u r ce s   D a t a s e t   i n d e x   D a t a s e t   n a me   S o u r c e   1 st   d a t a set   D F R - 09   N I S ( h t t p s : / / w w w . c f r e d s. n i s t . g o v / d f r - t e st - i ma g e s. h t ml )   2 n d   d a t a s e t   Th e   T 5   c o r p u s   w i t h o u t   o v e r w r i t e   G o v d o c s (r o u ss e v . n e t / t 5 / t 5 . h t m l )   w i t h o u t   o v e r w r i t e   3 r d   d a t a s e t   Th e   T 5   c o r p u s   w i t h   o v e r w r i t e   G o v d o c s   ( r o u ss e v . n e t / t 5 / t 5 . h t m l )   w i t h   o v e r   r i g h t         DFR - 09   DFR - 0 9   is   d ataset  p r o v id ed   b y   NI ST   to   test   d ata  r ec o v e r y   to o ls   wh ich   in clu d e   a   lar g e   n u m b er   o f   tex d o cu m e n ts ,   wh er ac co r d in g   t o   th im ag lay o u d o cu m en wh ich   d escr ib es  th cr ea tio n   an d   f in al  lay o u o f   ea ch   im ag e,   DFR - 0 9   h as  2 6 6   d elete d   f iles   with o u t o v er wr ite   th er ar e   1 4   f iles   with o u t   m et ad ata  an d   th er ef o r e   ca n n o b e   f o u n d .   T h f iles   to   b n o f o u n d   ar e:  x B 0 0 2 3 - 3 . tx t,  x B 0 0 5 4 - 5 . tx t,  x B 0 0 7 4 - 3 . tx t,  x B 0 1 0 6 - 5 . tx t,  x B 0 1 1 3 - 4 . tx t,  x B 0 1 1 6 - 5 . tx t,   x B 0 1 2 5 - 3 . tx t ,   x B 0 1 7 5 - 4 . t x t,  x B 0 1 7 6 - 3 . tx t,  x B 0 1 7 8 - 4 . tx t,  x B 0 2 1 1 - 5 . tx t,    x B 0 2 2 7 - 3 . tx t,  x B 0 2 4 4 - 4 . tx t,  x B 0 2 5 7 - 5 . t x t.     T 5   co r p u s   with o u t o v er wr ite   T 5   co r p u s   is   d ataset  p r o v id ed   b y   Go v d o cs  ( Dig ital  C o r p o r a)   wh ich   in clu d 4 4 5 7   m u lt i - ty p f iles   s u ch   as  ( h y p er tex m ar k u p   lan g u ag ( HT ML ) ,   p o r tab le  d o cu m en f o r m at  ( PDF),   tex t,  wo r d   d o cu m e n t p o wer   p o in d o cu m e n t,  e x ce d o cu m en t i m ag e . jp g   an d   i m ag e . g if )   with   to tal   s ize  1 . 7 8   G B   ( 1 , 9 1 1 , 6 6 2 , 7 8 4   B y tes)   with o u t o v er wr ite,   th d elete d   f iles   d escr ip tio n   s h o wn   in   T ab le   2 .       T ab le  2 Dele ted   f iles   d escr ip t io n   o f   T 5   co r p u s   with o u o v er wr ite   Ty p e   o f   f i l e s   N u mb e r   o f   f i l e s   S i z e   H TM L   1 0 9 3   6 8 . 4   M B   ( 7 1 , 7 4 4 , 7 0 0   B y t e s)   P D F   1 0 7 3   6 0 3   M B   ( 6 3 2 , 7 8 5 , 4 2 9   B y t e s)   Te x t   7 1 1   2 3 4   M B   ( 2 4 5 , 5 6 4 , 0 3 7   B y t e s)   W o r d   d o c u me n t   5 3 3   2 1 9   M B   ( 2 3 0 , 5 5 2 , 6 2 2   B y t e s)   P o w e r   P o i n t   d o c u me n t   3 6 8   3 5 1   M B   ( 3 6 8 , 9 9 1 9 7 5   B y t e s)   Ex c e l   d o c u m e n t   2 5 0   2 7 7   M B   ( 2 9 0 , 9 4 4 , 8 6 2   B y t e s)   I mag e . g i f   67   1 3 . 9   M B   ( 1 4 , 6 0 8 , 6 7 0   B y t e s)   I mag e . j p g   3 6 2   5 3 . 8   M B   ( 5 6 , 4 7 0 , 1 9 2   B y t e s)         T 5   co r p u s   with   o v er w r ite  d ata s et   T 5   co r p u s   with   o v er wr ite  th is   d ataset  in clu d es  as  s am e   as  p r ev io u s   d ataset  4 4 5 7   m u lti - ty p f iles   with   to tal  s ize  1 . 7 8   G B   ( 1 , 9 1 1 , 6 6 2 , 7 8 4   B y tes)  b u h er e   with   o v er wr ite  6 3 3   MB  ( 6 6 3 , 9 9 5 , 6 9 9   B y tes)  with   1 2 7 1   in d e x   m u lti - ty p f iles   s u ch   as   ( h y p e r tex m ar k u p   lan g u ag e   ( HT M L ) ,   p o r tab le   d o c u m en t   f o r m at   ( PDF),   tex t,   wo r d   d o cu m e n t,  p o wer   p o in d o cu m en t,  ex ce d o cu m e n t,  im ag e . jp g   an d   i m ag e . g if )   th d elete d   f iles   d escr ip tio n   s h o wn   in   T ab le  3 .       T ab le  3 Dele ted   f iles   d escr ip t io n   o f   T 5   co r p u s   with   o v er wr i te   Ty p e   o f   f i l e s   N u mb e r   o f   f i l e s   S i z e     D a mag e d   f i l e s     H TM L   1 0 9 3   6 8 . 4   M B   ( 7 1 , 7 4 4 , 7 0 0   B y t e s)   -   si z e   P D F   1 0 7 3   5 8 8   M B   ( 6 1 7 , 5 4 5 , 7 4 8   B y t e )   -   -   Te x t   7 1 1   -   7 1 1   -   W o r d   d o c u me n t   5 3 3   -   5 3 3   2 3 4   M B   ( 2 4 5 , 5 6 4 , 0 3 7   B y t e s)   P o w e r   P o i n t   d o c u me n t   3 6 8   3 5 1   M B   ( 3 6 8 , 9 9 1 , 9 7 5   B y t e s)   81   2 1 9   M B   ( 2 3 0 , 5 5 2 , 6 2 2   B y t e s)   Ex c e l   d o c u m e n t   2 5 0   2 7 7   M B   ( 2 9 0 , 9 4 4 , 8 6 2   B y t e s)   -   7 7 . 6   M B   ( 8 1 , 4 3 6 , 2 3 7   B y t e s)   I mag e . g i f   67   1 3 . 9   M B   ( 1 4 , 6 0 8 , 6 7 0   B y t e s)   66   -   I mag e . j p g   3 6 2   5 3 . 8   M B   ( 5 6 , 4 7 0 , 1 9 2   B y t e s)   3 0 7   1 3 . 9   M B   ( 1 4 , 6 0 1 , 1 3 3   B y t e s)       T h ir d ap p l icatio n   s o f twar e   d e s ig n ed   o n   s elec ted   d ata  s et s.  F o r th ca lcu late  th e   co m p ar is o n   v ar iab les  ( s p ee d   o f   r ec o v er y   an d   r ate  o f   r ec o v er y )   d ef in e d   in   th s ec o n d   s ec tio n   o f   th is   r esear ch   f o r   ea c h   d ataset  ac co r d in g   Evaluation Warning : The document was created with Spire.PDF for Python.
                    I SS N :   1 6 9 3 - 6 9 3 0   T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l Vo l.  1 9 ,   No .   1 Feb r u ar y   202 1 :    7 3   -   78   76   to   ea ch   alg o r ith m .   T h p r ac tic al  p r o ce d u r es u s ed   d u r in g   th is   r esear ch   ca n   b v iewe d   th r o u g h   f lo wch ar s h o wn   in   Fig u r 1 .   c.   Ou tp u t stag e   Du r in g   t h is   p h ase,   t h two   p r ev io u s   alg o r ith m s   ( f ile   r ec o v e r y   with   A h o - cr o s ick   alg o r ith m   an d   f ile  r ec o v er y   with   L o g ical  d ata  r e co v er y   alg o r ith m )   o f   d u r in g   p r ev io u s   d atasets   ap p ly   t o   ea ch   o f   th al g o r ith m s ,   ea ch   tim th r esu lts   r ec o r d   w h er th r esu lts   s o r te  b y   ty p e,   t h en   th e   r ec o v er   f iles   ar e   ch ec k to   d is tin g u is h   t h o p er ab le  f iles   f r o m   th n o n - o p er ab le  f iles .   W ill  b co m p ar ed   ac co r d in g   to   th co m p ar is o n   v ar iab les  to   r ea ch   th f astes t a n d   m o s t e f f icien t a lg o r ith m  .       3.   RE SU L T A ND  AN AL Y SI S     I n   th is   p ap er   o r d er   to   co m p a r th p er f o r m a n ce   o f   th alg o r ith m s ,   th r ee   g lo b al  d ata  s ets  wer u s ed   s p ec if ically   to   s tu d y   th ef f e ctiv en ess   o f   d ata  r ec o v e r y   to o ls ,   wh er o v er wr ite  ca s es  h av b ee n   tak en   in to   ac co u n t ,   as  d escr ib ed   in   t h T ab le  4   s u m m ar izes  th r esu lts   o f   ap p ly i n g   th two   alg o r ith m s   u n d er   s tu d y   to   th e   s elec ted   d ata  s ets.  I n   o r d er   t o   co m p ar e   th p er f o r m an ce   o f   th alg o r ith m s ,   th r ee   g lo b al  d ata  s ets  wer u s ed   s p ec if ically   to   s tu d y   th ef f ec tiv en ess   o f   d ata  r ec o v er y   to o ls ,   wh er o v er w r ite  ca s es  h av b ee n   co n s id er ed ,    as   d escr ib ed   in   th e   f o llo win g .       T ab le  4 R esu lts   s u m m ar y   an d   co m p ar e   D a t a s e t   A h o - C o r a s i c k   Lo g i c a l   R e c o v e r y     S p e e d   o f   r e c o v e r y   [ B / s e c ]   R a t e   o f   r e c o v e r y   %   S p e e d   o f   r e c o v e r y   [ B / s e c ]   R a t e   o f   r e c o v e r y   %   D F R - 9   2 8 1 , 7 3 5 4 5   94   4 1 6 , 0 0 0   94   T5 - c o r p u s w i t h o u t   o v e r w r i t e   1 1 , 9 2 9 , 2 5 2 . 9 4   1 0 0   1 2 , 8 7 1 , 4 1 6 . 5 4   1 0 0   T5 - c o r p u s w i t h   o v e r w r i t e   1 0 , 6 2 2 , 3 7 7   67 . 4   1 1 , 5 9 6 , 8 8 8 . 8 0   67 . 4       T h e   f ir s d ata  s et  ( DF R - 9 )   with   d elete d   d ata  s ize  o f   5 6 6 , 4 6 8   b y tes,  th L o g ical  d ata   r ec o v er y   alg o r ith m   ca n   r etr ie v 9 4 o f   th d elete d   d ata  at  s p e ed   o f   4 1 6 , 0 0 0   b y tes  in   o n e   s ec o n d   wh ile  th e     Ah o - C o r asick   alg o r ith m   ca n   r esto r th s am p er ce n tag o f   d elet ed   d ata  ( 9 4 %)  b u at   s p ee d   o f   u p   t o   2 8 1 , 7 3 5 4 5   b y tes p e r   s ec o n d ,    wh ich   m ea n s   t h at  th e   L o g ical   d ata  r ec o v er y   alg o r ith m   was t wice   th s p ee d   o f   th e   alg o r ith m   Ah o - C o r asick .    On   th o th er   h an d ,   in   th a p p lic atio n   o f   th s ec o n d   d ata  s et  ( T 5 - co r p u s   with o u o v er wr ite)   w h ich   h as   t o t a l   s i z e   1 . 7 8   G B   ( 1 , 9 1 1 , 6 6 2 , 7 8 4   B y t e s ) ,   th lo g ical  d ata  r ec o v er y   alg o r ith m   was   a b le  to   r ec o v er   1 0 0 o f   th d elete d   d ata,   i.e . ,   r esto r all  d elete d   d ata  at  s p ee d   o f   1 2 , 8 7 1 , 4 1 6 . 5 4   b y tes  p e r   s ec o n d   wh ile  th Ah o - C o r asick   al g o r it h m   was  ab le   to   r ec o v er   all  d ele ted   d ata   b u t   at  1 1 , 9 2 9 , 2 5 2 . 9 4   b y tes  in   o n s ec o n d .   W h er ea s ,   in   th ap p licatio n   o f   th th ir d   d ata  s et  ( T 5 - co r p u s   with   o v er wr ite  6 3 3   MB  ( 6 6 3 , 9 9 5 , 6 9 9   B y tes)  with   1 2 7 1   in d ex   ( m u lti - ty p f iles )   th L o g ical  d ata  r ec o v er y   alg o r ith m   was  ab le  to   r ec o v er   6 7 . 4 o f   th d elete d   d ata,   at  s p ee d   o f   1 1 , 5 9 6 , 8 8 8 . 8 0   b y tes  p er   s ec o n d   wh ile  th Ah o - C o r asick   alg o r ith m   was  ab le  to   r ec o v er   6 7 . 4 %   o f   th d elete d   d ata  b u t a t sp ee d   o f   1 0 , 6 2 2 , 3 7 7   b y tes in   o n s ec ond.   As s h o wn   i n   T ab le  4   a n d   Fig u r es 2   a n d   3.             Fig u r 2 C h ar t sp ee d   o f   r ec o v er y   [ b y tes /s ec o n d ]     Fig u r 3 C h ar o f   th r ate  o f   r ec o v er y       I n   th e   s tu d y   o f   p r ev io u s   s cien tific   r esear ch ,   all  s tu d ies  r elate d   to   th is   f ield   h av e   o m itted   th s tan d ar d   o f   tim r e q u ir ed   to   r ec o v er   f i les,  wh ile  th s tu d y   o n   t h e   lo g ical  d ata  r ec o v er y   alg o r ith m   h as  n eg lecte d   th o v er wr ite  d ata.   T h e r ef o r e ,   th f o cu s   o f   t h is   r esear ch   was  o n   th e   tim n ee d ed   t o   r ec o v er   d ata  t h r o u g h   th e   s u g g ested   s p ee d   cr iter io n   an d   to   ad d r ess   th o v er wr ite  ca s es  o f   d elete d   d ata.   As  ca n   b e   s e en   in   th is   r esear ch ,   th s tu d y   o f   th ef f ec tiv en ess   o f   two   o f   th latest  alg o r ith m s   d ev elo p ed   in   th f ield   o f   r etr i ev in g   f iles   d elete d   f r o m   t h NT FS   f ile  s y s tem ,   wh ile  th p r e v io u s   s tu d ies  w er lim ited   to   s tu d y   o n   th e   e f f ec tiv en ess   o f   o n alg o r ith m   o n ly .   On   th e   o t h er   h an d ,   t h alg o r ith m s   wer e   s tu d i ed   ac co r d in g   to   th tim e   an d   a cc u r ac y   f ac to r s .   T h e   Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r is o n   o f d a ta   r ec o ve r t ec h n iq u es o n   ma s ter file ta b le  b etw ee n … ( Hu s s ein   I s ma el  S a h ib )   77   tim cr iter io n   was  n eg lecte d   d u r in g   th p r ev io u s   r esear ch ,   k n o win g   t h at  th e   s p ee d   o f   p er f o r m an ce   is   o n o f   t h m o s im p o r tan f ac to r s   in   th f ield   o f   d ig ital  in v esti g at io n .   On   th o th er   h an d ,   b o th   o f   th e   two   alg o r ith m s   ar u n ab le  to   d eter m in th u n d a m ag ed   f ile  an d   r esto r ed   o n l y ,   wh er b o th   o f   th em   r ec o v er ed   f iles   d estru ctiv an d   non - r e ad ab le.   I n   ad d itio n   to   t h at  b o th   alg o r ith m s   ca n n o d e ter m in if   th f ile  is   co m p lete ly   d estro y ed   o r   ca n   r etr iev in f o r m atio n   s u c h   as im ag es o r   s h o r t a u d io   clip s   o r   e v en   tex t c lip s .       4.   CO NCLU SI O N     I n   th is   p ap er ,   th r ee   d if f er en t d ata  s ets  wer u s ed .   As  r esu lt  o f   th ap p licatio n   o f   th r ee   d if f er en t d ata  s ets,  th is   wo r k   is   lo o k in g   in to   d esig n in g   h ig h ly   ef f icien d ata  r ec o v er y   alg o r ith m   an d   h ig h er   s p ee d   th an   th alg o r ith m s   b ein g   s tu d ied .   T h tar g et  alg o r ith m   b eg in s   b y   r ea d in g   th MFT   an d   s p ec if ies  all   m etad ata  f o r   ea ch   f ile  h as  an   in d ex   in   th m aster   f ile  tab le.   T h en   is   th s elec tio n   o f   th d am ag ed   f iles   p ar tially   o r   co m p letely .   I f   r esto r all  f iles   was  p r o m p ted ,   th lo g ical  alg o r ith m   will  b f o llo wed .   I f   we  wan to   r esto r s p ec if ic  ty p o f   d ata  o r   a   s p ec if ic  f ile,   th Ah o - C o r asick   alg o r ith m   will  b u s ed   to   s ea r ch   f o r   an d   r ec o v er y   th r eq u ir ed   f iles .   On   th o th er   h an d ,   th Ah o - C o r asick   alg o r ith m   p r o v ed   f aster   in   s ea r ch in g   an d   d eter m in in g   s p ec if ic  ty p o f   f ile  to   r etr iev e.   T h er ef o r e,   th Ah o - C o r asick   alg o r ith m   will  b u s ed   to   r etr iev s p ec if ic  ty p o f   d ata.   I n   all  ca s es,  d am ag ed   f iles   s h o u ld   n o b r esto r ed   wh ich   lead s   to   waste  in   tim e.   I f   th m em o r y   is   f o r m atted ,   th MFT   will  b em p ty   an d   co n tain   n o   in f o r m atio n .   T h alg o r ith m s   will  f ail  to   r ec o v er   an y   f ile  s o   th at  th alg o r ith m   s h o u ld   b ab le  to   r etr iev d ata  b ased   o n   f ile  s tr u ctu r s u ch   as f ile - ca r v in g   tech n iq u es.       ACK NO WL E DG E M E NT S   T h au th o r s   g r atef u lly   ac k n o wled g UT HM   Sch em e,   Un i v er s iti  Un iv er s iti  T u n   Hu s s ei n   Ma lay s ia  ( UT HM ) ,   Dep ar tm en o f   in f o r m atio n   Secu r ity .       RE F E R E NC E S     [1 ]   M .   P a tan k a a n d   D.   Bh a n d a ri,   F o re n sic   T o o ls  u se d   i n   Dig i tal  C rime   In v e stig a ti o n ,   I n d i a n   J .   Ap p l.   Res . ,   v o l.   4 ,     n o .   5 ,   p p .   2 7 8 - 2 8 3 ,   2 0 1 4 .   [ 2 ]   S .   To m e r,   A.  Ap u rv a ,   P .   Ra n a k o ti ,   S .   Ya d a v ,   a n d   N.  R.   Ro y ,   Da ta rec o v e ry   in   F o re n sic s,”   2 0 1 7   In t .   Co n f.   C o mp u t .   Co mm u n .   T e c h n o l.   S ma rt   Na ti o n ,   IC3 T S 2 0 1 7 ,   v o l .   2 0 1 7 ,   p p .   1 8 8 - 1 9 2 ,   2 0 1 8 .   [ 3 ]   M .   Al h u ss e in   a n d   D.   W ij e se k e ra ,   h ig h ly   re c o v e ra b le  a n d   e f ficie n fil e s y ste m ,   Pro c e d i a   T e c h n o l . ,   v o l.   1 6 ,     p p .   4 9 1 - 4 9 8 ,   2 0 1 4 .   [ 4 ]   Y.  Yu so ff,   R.   Ism a il ,   a n d   Z.   Ha ss a n ,   Co m m o n   P h a se o Co m p u ter  F o re n sic In v e stig a ti o n   M o d e ls,”  In t.   J .   Co m p u t .   S c i.   In f.   T e c h n o l . ,   v o l .   3 ,   n o .   3 ,   p p .   1 7 - 3 1 ,   2 0 1 1 .   [ 5 ]   P .   A.  S .   Ka p se ,   P ri y a   S .   P a t il ,   S u rv e y   o n   Diffe re n P h a se s o Di g it a F o re n sic s In v e st ig a ti o n   M o d e ls,”  In t.   J .   I n n o v .   Res .   Co mp u t.   C o mm u n .   En g . ,   v o l.   0 3 ,   n o .   0 3 ,   p p .   1 5 2 9 - 1 5 3 4 ,   2 0 1 5 .   [6 ]   F .   Ha fe e z ,   Ro le  o F il e   S y ste m   i n   Op e ra ti n g   S y ste m ,   In ter n a ti o n a J o u r n a o C o mp u ter   S c ien c e   a n d   I n n o v a ti o n v o l.   2 0 1 6 ,   p p .   1 1 7 - 1 2 7 ,   2 0 1 6 .   [7 ]   M .   Ala z a b ,   S .   Ve n k a tram a n ,   a n d   P .   Watters ,   Eff e c ti v e   Dig it a l   F o re n sic   An a l y sis  o t h e   N TF S   Disk   Im a g e ,   Ub iq u it o u s Co m p u t .   Co mm u n .   J . ,   v o l .   4 ,   n o .   3 ,   p p .   5 5 1 - 5 5 8 ,   2 0 0 9 .   [8 ]   S .   Al - fe d a g h a n d   B.   Al - b a b tain ,   M o d e li n g   t h e   F o re n sic P r o c e ss ,   In ter n a ti o n a J o u rn a o S e c u rity  a n d   it s   Ap p li c a ti o n s ,   v o l .   6 ,   n o .   4 ,   p p .   9 7 - 1 0 8 ,   2 0 1 2 .   [9 ]   M .   Ala z a b   a n d   P .   Watters ,   Dig it a fo re n sic   tec h n iq u e fo r   sta ti c   a n a ly sis   o f   NTF S   ima g e s,”   4 th   In t .   C o n f .   I n f.   T e c h n o l .   ICIT ,   2 0 09 .   [1 0 ]   K .   L .   R u s b a r s k y   a n d   K .   C i t y ,   A   F o r e n s i c   C o m p a r i s o n   o f   N T F S   a n d   F A T 3 2   F i l e   S y s t e m s ,   M a r s h a l l   U n i v . ,   p .   2 9 ,   2 0 1 2 .   [1 1 ]   G .   H.  F e ll o ws ,   Th e   j o y o c o m p lex it y   a n d   th e   d e lete d   fil e ,   Dig it .   In v e stig . ,   v o l.   2 ,   n o .   2 ,   p p .   8 9 - 9 3 ,   2 0 0 5 .   [1 2 ]   J.  Da v is,  J.   M a c Lea n ,   a n d   D.   Da m p ier,  M e th o d s o I n fo rm a ti o n   Hid in g   a n d   De tec ti o n   i n   F il e   S y st e m s,”   2 0 1 0   Fi f t h   IEE In t.   W o rk .   S y st.  Ap p ro a c h e s to   Di g it .   Fo re n sic   E n g . ,   v o l.   5 ,   n o .   Ju n e ,   p p .   6 6 - 6 9 ,   2 0 1 0 .   [1 3 ]   C.   Zo u b e k   a n d   K.  S a c k ,   S e lec ti v e   d e letio n   o n o n - re lev a n t   d a ta,”  Dig it .   I n v e stig . ,   v o l.   2 0 ,   p p .   S 9 2 S 9 8 ,   2 0 1 7 .   [1 4 ]   S .   Dill o n ,   Hid e   a n d   S e e k  :  Co n c e a li n g   a n d   Re c o v e rin g   Ha rd   Disk   Da ta,”  J a me M a d iso n   U n ive rs it y   In fo se c   T e c h re p o rt v o l .   3 5 ,   n o .   Ju l y ,   p .   1 7 ,   2 0 0 6 .   [1 5 ]   G .   S .   Ch o ,   NTF S   Dire c to r y   I n d e x   An a ly sis   fo C o m p u ter  F o re n sic s,”   Pro c .     2 0 1 5   9 t h   In t.   C o n f.   In n o v .   M o b .   I n ter n e t   S e rv .   Ub iq u it o u s C o mp u t.   I M IS   2 0 1 5 ,   p p .   4 4 1 - 4 4 6 ,   2 0 1 5   [1 6 ]   K.  Zh a n g ,   E.   C h e n g ,   a n d   Q.   G a o ,   An a ly sis a n d   imp lem e n tatio n   o NTF S   fil e   s y ste m   b a se d   o n   c o m p u ter fo re n sic s,”   2 n d   In t .   W o rk .   E d u c .   T e c h n o l.   C o mp u t.   S c i.   ET CS   2 0 1 0 ,   v o l.   1 ,   p p .   3 2 5 - 3 2 8 ,   2 0 1 0 .   [1 7 ]   NTF S ,   NTF S   M a ste F il e   Ta b le  (M F T),   2 0 1 8 .   [On li n e ].   Av a il a b l e h tt p :/ /www . n tfs. c o m .   [1 8 ]   R .   R .   O o m m e n   a n d   P .   S u g a t h a n ,   R e c o v e r i n g   D e l e t e d   F i l e s   f r o m   N T F S ,   E a s e U S ,   v o l .   5 ,   n o .   5 ,   p p .   2 0 1 3 2 0 1 6 ,   2 0 1 6 .   [1 9 ]   C.   K.  Wee ,   An a ly sis  o h id d e n   d a ta  in   NTF S   f il e   sy ste m ,   S tru c tu re ,   p .   9 ,   2 0 0 5 .   [On li n e ].   Av a il a b le:   h tt p : // ww w.fo re n sic fo c u s.c o m /d o wn lo a d s/ n tfs - h i d d e n - d a ta - a n a ly si s.p d f.   [2 0 ]   S .   H.  M a h a n a n d   B.   B.   M e sh r a m ,   NTF S   De lete d   F il e Re c o v e ry F o re n sic Vie w,”  IRA CS T - In ter n a t io n a J .   Co mp u t .   S c i .   In f .   T e c h n o l .   S e c u r. ,   v o l .   2 ,   n o .   3 ,   p p .   4 9 1 4 9 7 ,   2 0 1 2 .   [2 1 ]   O.  S .   S it o m p u l,   A.   Ha n d o k o ,   a n d   R.   F .   Ra h m a t,   F il e   Re c o n stru c ti o n   in   Dig it a l   F o re n sic ,   T EL KO M NIKA   T e lec o mm u n ica ti o n   Co mp u ti n g   E lec tro n ics   a n d   C o n tr o l ,   v o l .   1 6 ,   n o ,   2 ,   p p .   7 7 6 - 7 9 4 ,   2 0 1 8 .   Evaluation Warning : The document was created with Spire.PDF for Python.
                    I SS N :   1 6 9 3 - 6 9 3 0   T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l Vo l.  1 9 ,   No .   1 Feb r u ar y   202 1 :    7 3   -   78   78   [2 2 ]   O.  S .   S it o m p u l,   A.  Ha n d o k o ,   a n d   R.   F .   Ra h m a t,   fil e   u n d e lete   with   Ah o - C o ra sic k   a lg o ri th m   in   fil e   r e c o v e ry ,   2 0 1 6   In t.   C o n f .   In f o rm a ti c s C o mp u t.   IC IC  2 0 1 6 ,   n o .   lCIC ,   p p .   4 2 7 4 3 1 ,   2 0 1 7 .   [2 3 ]   S .   L.   G a rfin k e l,   " Dig it a F o re n sic s, "   Ame ric a n   S c ien ti st,   v o l.   1 0 1 ,   n o .   5 .   2 0 1 3 .   [2 4 ]   P .   Ra v in d ra ,   R .   Ka lal,   S o u m y a ,   a n d   V.   M a n d a l,   L o g ica l   d a ta   re c o v e ry   tec h n iq u e   f o U S d e v ice s,”   Pro c .   -   2 0 1 3   In t.   C o n f .   Eme rg .   T re n d s C o mm u n .   Co n tro l.   S ig n a l   Pro c e ss .   Co mp u t.   A p p l .   IEE E - C2 S PCA   2 0 1 3 ,   p p .   3 - 8 ,   2 0 1 3 .   [2 5 ]   NIST ,   Da taSet - DFR - 09 , ”  [O n li n e ].   Av a il a b le:  h tt p s: // ww w.cfre d s.n ist. g o v /d fr - tes t - ima g e s.h tml.       B I O G RAP H I E S O F   AUTH O RS        H u ss e in   Is m a e S a h ib   wa b o rn   in   Ira q ,   i n   1 9 8 4   He   re c e iv e d   th e   B. S   In f o rm a ti o n   Tec h n o l o g y   d e g re e   with   h o n o rs  fro m   th e   Ce n tral  Tec h n ica Un i v e rsity ,   Ba g h d a d ,   Ira q   i n   2 0 0 6   a n d   M . S   I n fo rm a ti o n   S e c u rit y   d e g re e   fro m   Un iv e rsiti   T u n   Hu ss e in   On n   M a lay si a   (UTHM in   2 0 1 9 .   His res e a rc h   in tere sts Dig it a F o re n sic   &   In fo rm a ti o n   S e c u rit y .           Nurul   H id a y a h   Ab  R a h m a n   is   c u rre n tl y   a n   a c a d e m ic  sta ff  in   t h e   F a c u lt y   o Co m p u ter   S c ien c e   a n d   In fo rm a ti o n   Tec h n o l o g y ,   Un i v e rsiti   Tu n   Hu ss e in   On n   M a lay sia   (UTHM ) S h e   re c e iv e d   th e   P h fro m   Un iv e rsit y   o S o u t h   Au stra li a ,   A u stra li a . He m a in   a re a o re s e a rc h   in tere st  a re   d i g it a l   fo re n sic a n a ly sis,  in f o rm a ti o n   sy ste m   se c u rit y   m a n a g e m e n t,   a n d   se c u rit y   in c id e n t   m a n a g e m e n t.         Ali  K a z e m   Al - Q a y si   re c e iv e d   th e   B. E n g .   i n   El e c tri c a En g in e e rin g   fr o m   F a c u li ty   o f   En g i n e e rin g Un iv e rsity   o f   Ti k rit Ira q   i n   2 0 0 4   a n d   t h e   M . S c .   De g re e   in   Tele c o m m u n ica ti o n   En g i n e e rin g   fr o m   S c h o o o Co m p u ter  S c ien c e   a n d   El e c tro n ic  E n g i n e e rin g Un iv e rsit y   o f   Esse x U n it e d   K in g d o m   in   2 0 1 6 .         Mo th a n a   L.   Atti a h   wa b o r n   in   I ra q ,   in   1 9 8 2 .   He   re c e iv e d   th e   B. S .   d e g re e   with   h o n o rs  fro m   th e   M i d d le  Tec h n ica Un i v e rsity ,   Ira q ,   in   2 0 0 6   a n d   M . S   d e g re e   fro m   Un iv e rsiti   Ke b a n g sa a n   M a lay sia   (UK M in   2 0 1 6 .   He   re c e iv e d   th e   P h . D.  fr o m   th e   F a c u lt y   o f   El e c tro n ic  &   Co m p u ter   En g i n e e rin g ,   Un i v e rsiti   Tek n i k a M a lay sia   M e lak a   (UTe M ).   His  r e se a rc h   in tere sts  m a in ly   fo c u o n   5 G   m m Wav e   Co m m u n i c a ti o n s,  sp e c tru m   sh a ri n g   a p p r o a c h ,   &   Ne two rk   t o p o lo g y   P lan n i n g   a n d   o t h e to p ics   re late d   to   se c u rit y   a n d   d a ta rec o v e r y .     Evaluation Warning : The document was created with Spire.PDF for Python.