Foremost Grundlagen
Zur Navigation springen
Zur Suche springen
Einordnung
- Foremost ist ein forensisches File-Carving-Werkzeug.
- Es arbeitet unabhängig vom Dateisystem direkt auf Rohdaten.
- Ziel ist das Wiederherstellen von Dateien anhand bekannter Dateisignaturen (Header/Footer).
Forensischer Zweck
- Wiederherstellung gelöschter Dateien
- Analyse beschädigter oder zerstörter Dateisysteme
- Auswertung von dd-Images, USB-Sticks, Speicherkarten
- Ergänzung zur Dateisystemanalyse (Inode-/Metadaten-basiert)
Arbeitsweise
- Blockweises Lesen des gesamten Datenstroms
- Suche nach bekannten Datei-Headern (z. B. JPG, PDF)
- Suche nach passenden Footern oder Nutzung heuristischer Längen
- Extraktion der gefundenen Daten in neue Dateien
- Protokollierung im Audit-Log
Eigenschaften
- Kein Zugriff auf Dateinamen
- Keine Verzeichnisstruktur
- Keine Zeitstempel
- Keine Benutzer- oder Rechteinformationen
Unterstützte Dateitypen (Auswahl)
- jpg, png, gif, bmp
- pdf, doc, xls
- zip, rar
- avi, mp4, mp3
Stärken
- Funktioniert ohne intaktes Dateisystem
- Sehr robust bei beschädigten Medien
- Einfach, deterministisch, gut reproduzierbar
- Gut geeignet für Schulungs- und Demo-Szenarien
Schwächen
- Fragmentierte Dateien oft unvollständig
- Kein Kontext zur Dateiherkunft
- Ergebnisse sind roh und müssen manuell bewertet werden
- Allein nicht beweiskräftig
Einordnung in der forensischen Analyse
- Nach Image-Erstellung (dd, EWF)
- Parallel zu Sleuth Kit / inode-basierter Analyse
- Vor manueller Sichtung, Hashing und Korrelation
Merksatz
- Foremost beantwortet nicht „wem gehörte die Datei“, sondern nur „diese Daten waren hier vorhanden“.