Forensisches Demo-Szenario: Foremost

Ziel

• Demonstration von File Carving
• Aha-Effekt: Gelöschte Dateien sind noch rekonstruierbar
• Trennung von Dateisystem-Sicht und Rohdaten-Sicht

Ausgangslage

• Linux-System
• Loop-Device als Testmedium
• Zwei reale Dateien:
  • tux.png
  • daemon.pdf

Testmedium vorbereiten

• sudo -i
• dd if=/dev/zero of=stick.img bs=1M count=100
• mkfs.ext4 stick.img
• mkdir /mnt/forensic
• mount -o loop stick.img /mnt/forensic

Foremost installieren

• sudo apt install -y foremost

Dateien beschaffen

• wget https://xinux.de/downloads/forensic/tux.png
• wget https://xinux.de/downloads/forensic/daemon.pdf

Dateien auf das Medium kopieren

• cp tux.png /mnt/forensic/
• cp daemon.pdf /mnt/forensic/
• sync

Dateien löschen

• rm /mnt/forensic/tux.png
• rm /mnt/forensic/daemon.pdf
• sync
• umount /mnt/forensic

Beobachtung

• Dateien sind für das Betriebssystem verschwunden
• Kein Zugriff über ls oder Dateimanager möglich

Forensische Analyse

• foremost -i stick.img -o foremost-output

Ergebnis prüfen

• cd foremost-output
• ls

Typisches Ergebnis

• Ordner png/ und pdf/
• Dateien mit generischen Namen
• audit.txt mit Analyseinformationen

Erklärung

• rm löscht nur Dateisystem-Referenzen
• Die Datenblöcke bleiben unverändert
• Foremost ignoriert das Dateisystem vollständig
• Es arbeitet ausschließlich auf dem Datenstrom

Forensische Aussagekraft

• Beweisbar:
  • Diese Dateien waren physisch auf dem Medium vorhanden
• Nicht beweisbar:
  • Dateiname
  • Pfad
  • Zeitstempel
  • Benutzer

Abgrenzung

• Foremost arbeitet roh (Header/Footer)
• Sleuth Kit arbeitet metadatenbasiert
• Beide Werkzeuge ergänzen sich

Merksatz

• Foremost beweist Existenz von Daten – nicht deren Geschichte.