File Carving: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
K (Link Sleuthkit hinzugefügt.)
 
Zeile 2: Zeile 2:


Es gibt einige Open-Source-Werkzeuge welche das Carving automatisieren, z.B. Foremost, Scalpel, Photorec oder Ftimes.
Es gibt einige Open-Source-Werkzeuge welche das Carving automatisieren, z.B. Foremost, Scalpel, Photorec oder Ftimes.
Wiederherstellen von gelöschten Dateien mit Sleuthkit: https://www.linux-magazin.de/ausgaben/2011/03/wider-das-vergessen/

Aktuelle Version vom 3. April 2022, 11:42 Uhr

Mittels File Carving lassen sich einzelne Dateifragmente wieder zu einer Datei zusammensetzen selbst dann, wenn die Metadaten nicht mehr vorhanden sind. Es ist somit ein mächtiges Werkzeug zur Wiederherstellung von Dateien und Dateifragmenten bei unlesbaren oder fehlenden Directory-Einträge. Hierzu werden die Rohdaten analysiert und festgestellt um welchen Dateityp es sich handelt bspw. Text, png, mp3… Zu Nutzen macht sich hier der bekannte Aufbau von vielen Datentypen, besonders der Beginn „Header“ und das Ende „Footer“ der File eines Types sind wichtig.

Es gibt einige Open-Source-Werkzeuge welche das Carving automatisieren, z.B. Foremost, Scalpel, Photorec oder Ftimes.


Wiederherstellen von gelöschten Dateien mit Sleuthkit: https://www.linux-magazin.de/ausgaben/2011/03/wider-das-vergessen/