https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Foremost_GrundlagenForemost Grundlagen - Versionsgeschichte2026-06-29T07:02:22ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Foremost_Grundlagen&diff=66722&oldid=prevThomas.will: Die Seite wurde neu angelegt: „==Einordnung== *Foremost ist ein forensisches File-Carving-Werkzeug. *Es arbeitet unabhängig vom Dateisystem direkt auf Rohdaten. *Ziel ist das Wiederherstell…“2026-02-09T18:13:54Z<p>Die Seite wurde neu angelegt: „==Einordnung== *Foremost ist ein forensisches File-Carving-Werkzeug. *Es arbeitet unabhängig vom Dateisystem direkt auf Rohdaten. *Ziel ist das Wiederherstell…“</p>
<p><b>Neue Seite</b></p><div>==Einordnung==<br />
*Foremost ist ein forensisches File-Carving-Werkzeug.<br />
*Es arbeitet unabhängig vom Dateisystem direkt auf Rohdaten.<br />
*Ziel ist das Wiederherstellen von Dateien anhand bekannter Dateisignaturen (Header/Footer).<br />
<br />
==Forensischer Zweck==<br />
*Wiederherstellung gelöschter Dateien<br />
*Analyse beschädigter oder zerstörter Dateisysteme<br />
*Auswertung von dd-Images, USB-Sticks, Speicherkarten<br />
*Ergänzung zur Dateisystemanalyse (Inode-/Metadaten-basiert)<br />
<br />
==Arbeitsweise==<br />
*Blockweises Lesen des gesamten Datenstroms<br />
*Suche nach bekannten Datei-Headern (z. B. JPG, PDF)<br />
*Suche nach passenden Footern oder Nutzung heuristischer Längen<br />
*Extraktion der gefundenen Daten in neue Dateien<br />
*Protokollierung im Audit-Log<br />
<br />
==Eigenschaften==<br />
*Kein Zugriff auf Dateinamen<br />
*Keine Verzeichnisstruktur<br />
*Keine Zeitstempel<br />
*Keine Benutzer- oder Rechteinformationen<br />
<br />
==Unterstützte Dateitypen (Auswahl)==<br />
*jpg, png, gif, bmp<br />
*pdf, doc, xls<br />
*zip, rar<br />
*avi, mp4, mp3<br />
<br />
==Stärken==<br />
*Funktioniert ohne intaktes Dateisystem<br />
*Sehr robust bei beschädigten Medien<br />
*Einfach, deterministisch, gut reproduzierbar<br />
*Gut geeignet für Schulungs- und Demo-Szenarien<br />
<br />
==Schwächen==<br />
*Fragmentierte Dateien oft unvollständig<br />
*Kein Kontext zur Dateiherkunft<br />
*Ergebnisse sind roh und müssen manuell bewertet werden<br />
*Allein nicht beweiskräftig<br />
<br />
==Einordnung in der forensischen Analyse==<br />
*Nach Image-Erstellung (dd, EWF)<br />
*Parallel zu Sleuth Kit / inode-basierter Analyse<br />
*Vor manueller Sichtung, Hashing und Korrelation<br />
<br />
==Merksatz==<br />
*Foremost beantwortet nicht „wem gehörte die Datei“, sondern nur „diese Daten waren hier vorhanden“.</div>Thomas.will