Dateiheader

Aus IT-Forensik Wiki

Als Dateiheader werden die Nutzdaten zu Beginn einer Datei bezeichnet. Diese sind für eine ordnungsgemäße und schnelle Verarbeitung durch Programme notwendig. Neben Informationen über den Dateityp können sie weiterführende Metainformationen enthalten.

Für die forensische Datenträgeruntersuchung besonders relevant sind die Informationen über den Dateityp. Diese Kennzeichner werden auch Magic Numbers genannt.

Beispielsweise kennzeichnet die Signatur “FF D8 FF E0” zu Beginn einer Datei die Bildformate JPG, JPEG, JPE und JFIF. [1]

Besonderen Einsatz finden diese Signaturen beim Carving. Dort wird gezielt nach Signaturen gesucht um gelöschte Dateien wiederherstellen zu können.

Metadaten im Dateiheader können bei Bilddateien Informationen über die verwendete Kamera mit Informationen über Blendeneinstellungen, GPS Koordinaten und Generatorinformationen enthalten.