Scalpel Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 14: | Zeile 14: | ||
*mkdir /mnt/forensic | *mkdir /mnt/forensic | ||
*mount -o loop stick.img /mnt/forensic | *mount -o loop stick.img /mnt/forensic | ||
| + | |||
| + | ==Installation== | ||
| + | *sudo apt install -y scalpel | ||
==Dateien beschaffen== | ==Dateien beschaffen== | ||
Version vom 9. Februar 2026, 18:46 Uhr
Ziel
- Demonstration, dass gelöschte Dateien im Datenstrom erhalten bleiben
Ausgangslage
- Linux-System
- Image mit ext4-Dateisystem
- Zwei Dateien:
- tux.png
- daemon.pdf
Testmedium vorbereiten
- dd if=/dev/zero of=stick.img bs=1M count=100
- mkfs.ext4 stick.img
- mkdir /mnt/forensic
- mount -o loop stick.img /mnt/forensic
Installation
- sudo apt install -y scalpel
Dateien beschaffen
- wget https://xinux.de/downloads/forensic/tux.png
- wget https://xinux.de/downloads/forensic/daemon.pdf
Dateien kopieren
- cp tux.png /mnt/forensic/
- cp daemon.pdf /mnt/forensic/
- sync
Dateien löschen
- rm /mnt/forensic/tux.png
- rm /mnt/forensic/daemon.pdf
- sync
- umount /mnt/forensic
Scalpel konfigurieren
- nano /etc/scalpel/scalpel.conf
- Aktivierte Dateitypen
png y 5000000 pdf y 20000000
Analyse durchführen
- scalpel stick.img -o scalpel-output
Ergebnis
- Scalpel extrahiert PNG- und PDF-Daten aus dem Image
- Dateien erhalten generische Namen
- Kein Bezug zu ursprünglichen Metadaten
Merksatz
- Scalpel zeigt, dass Daten existierten – nicht ihre Geschichte.