https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Scalpel_Grundlagen 2026-05-14T22:30:41Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Scalpel_Grundlagen&diff=66729&oldid=prev 2026-02-09T18:44:33Z

<p>Die Seite wurde neu angelegt: „==Was ist Scalpel== *Scalpel ist ein forensisches File-Carving-Werkzeug *Es analysiert Rohdaten wie Disk-Images oder Datenträger *Das Dateisystem wird vollst…“</p> <p><b>Neue Seite</b></p><div>==Was ist Scalpel==<br /> *Scalpel ist ein forensisches File-Carving-Werkzeug<br /> *Es analysiert Rohdaten wie Disk-Images oder Datenträger<br /> *Das Dateisystem wird vollständig ignoriert<br /> *Scalpel arbeitet ausschließlich auf dem Datenstrom<br /> <br /> ==Wie arbeitet Scalpel==<br /> *Das Image wird byteweise gelesen<br /> *Scalpel sucht nach bekannten Dateisignaturen<br /> **Datei-Header<br /> **optional Datei-Footer<br /> *Gefundene Datenbereiche werden extrahiert<br /> *Die Extraktion erfolgt strikt regelbasiert<br /> <br /> ==Konfigurationsprinzip==<br /> *Scalpel arbeitet nur mit expliziten Regeln<br /> *Welche Dateitypen gesucht werden, steht in scalpel.conf<br /> *Nicht aktivierte Dateitypen werden ignoriert<br /> *Keine Heuristik, kein automatisches „Erraten“<br /> <br /> ==Was Scalpel liefern kann==<br /> *Nachweis, dass bestimmte Dateitypen im Datenstrom vorhanden waren<br /> *Rekonstruktion von Datei-Inhalten<br /> *Reproduzierbare und nachvollziehbare Ergebnisse<br /> <br /> ==Was Scalpel nicht liefern kann==<br /> *Keine Dateinamen<br /> *Keine Verzeichnisstruktur<br /> *Keine Zeitstempel<br /> *Keine Benutzer- oder Besitzinformationen<br /> *Keine Aussage über Entstehung oder Nutzung<br /> <br /> ==Forensische Bedeutung==<br /> *Scalpel beantwortet die Frage:<br /> **„Welche Daten waren physisch auf dem Medium vorhanden?“<br /> *Nicht:<br /> **„Wie hieß die Datei?“<br /> **„Wo lag sie?“<br /> **„Wem gehörte sie?“</div>

Thomas.will