Scalpel Grundlagen
Zur Navigation springen
Zur Suche springen
Was ist Scalpel
- Scalpel ist ein forensisches File-Carving-Werkzeug
- Es analysiert Rohdaten wie Disk-Images oder Datenträger
- Das Dateisystem wird vollständig ignoriert
- Scalpel arbeitet ausschließlich auf dem Datenstrom
Wie arbeitet Scalpel
- Das Image wird byteweise gelesen
- Scalpel sucht nach bekannten Dateisignaturen
- Datei-Header
- optional Datei-Footer
- Gefundene Datenbereiche werden extrahiert
- Die Extraktion erfolgt strikt regelbasiert
Konfigurationsprinzip
- Scalpel arbeitet nur mit expliziten Regeln
- Welche Dateitypen gesucht werden, steht in scalpel.conf
- Nicht aktivierte Dateitypen werden ignoriert
- Keine Heuristik, kein automatisches „Erraten“
Was Scalpel liefern kann
- Nachweis, dass bestimmte Dateitypen im Datenstrom vorhanden waren
- Rekonstruktion von Datei-Inhalten
- Reproduzierbare und nachvollziehbare Ergebnisse
Was Scalpel nicht liefern kann
- Keine Dateinamen
- Keine Verzeichnisstruktur
- Keine Zeitstempel
- Keine Benutzer- oder Besitzinformationen
- Keine Aussage über Entstehung oder Nutzung
Forensische Bedeutung
- Scalpel beantwortet die Frage:
- „Welche Daten waren physisch auf dem Medium vorhanden?“
- Nicht:
- „Wie hieß die Datei?“
- „Wo lag sie?“
- „Wem gehörte sie?“