Scalpel Beispiele: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
==Ziel==
+
=Scalpel (Forensik)=
*Demonstration, dass gelöschte Dateien im Datenstrom erhalten bleiben
 
  
==Ausgangslage==
+
==Wichtige Klarstellung zur Konfiguration==
*Linux-System
 
*Image mit ext4-Dateisystem
 
*Zwei Dateien:
 
**tux.png
 
**daemon.pdf
 
  
==Testmedium vorbereiten==
+
*Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
*dd if=/dev/zero of=stick.img bs=1M count=100
+
*Jeder Dateityp ist vollständig definiert:
*mkfs.ext4 stick.img
+
**Dateiendung
*mkdir /mnt/forensic
+
**Aktiv/Deaktiviert
*mount -o loop stick.img /mnt/forensic
+
**Maximale Dateigröße
 +
**Header-Signatur
 +
**Footer-Signatur
 +
*Neue Zeilen wie „png y 5000000“ funktionieren NICHT
  
==Installation==
+
==Prinzip==
*sudo apt install -y scalpel
+
*Alle Dateitypen sind standardmäßig auskommentiert
 +
*Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
 +
*Header und Footer dürfen nicht verändert werden
  
==Dateien beschaffen==
+
==Korrektes Vorgehen==
*wget https://xinux.de/downloads/forensic/tux.png
 
*wget https://xinux.de/downloads/forensic/daemon.pdf
 
  
==Dateien kopieren==
+
*nano /etc/scalpel/scalpel.conf
*cp tux.png /mnt/forensic/
+
 
*cp daemon.pdf /mnt/forensic/
+
==PNG aktivieren==
*sync
+
;Original (auskommentiert)
 +
# png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
  
==Dateien löschen==
+
;Aktiv (Kommentarzeichen entfernen)
*rm /mnt/forensic/tux.png
+
png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
*rm /mnt/forensic/daemon.pdf
 
*sync
 
*umount /mnt/forensic
 
  
==Scalpel konfigurieren==
+
==PDF aktivieren==
*nano /etc/scalpel/scalpel.conf
+
;Original (auskommentiert)
 +
# pdf y 20000000 %PDF %EOF
  
;Aktivierte Dateitypen
+
;Aktiv (Kommentarzeichen entfernen)
png y 5000000
+
  pdf y 20000000 %PDF %EOF
  pdf y 20000000
 
  
==Analyse durchführen==
+
==Bedeutung der Felder==
 +
*png / pdf
 +
**Dateiendung
 +
*y
 +
**Dateityp aktiv
 +
*5000000 / 20000000
 +
**Maximale Dateigröße in Bytes
 +
*Header-Signatur
 +
**Beginn der Datei
 +
*Footer-Signatur
 +
**Ende der Datei
 +
==Analyse starten==
 
*scalpel stick.img -o scalpel-output
 
*scalpel stick.img -o scalpel-output
  
 
==Ergebnis==
 
==Ergebnis==
*Scalpel extrahiert PNG- und PDF-Daten aus dem Image
+
*Scalpel legt ein Ausgabeverzeichnis an
*Dateien erhalten generische Namen
+
*Unterordner nach Dateitypen (png/, pdf/)
*Kein Bezug zu ursprünglichen Metadaten
+
*Dateien mit generischen Namen
 +
*Keine ursprünglichen Metadaten
 +
 
 +
==Wichtig==
 +
*Wenn ein Dateityp nicht aktiviert ist, wird nichts gefunden
 +
*Wenn Daten überschrieben sind, kann nichts rekonstruiert werden
 +
*Gefundene Dateien haben keinen Kontext
 +
 
 +
==Merksatz==
 +
*Scalpel findet Dateien nur dann, wenn ihre Signatur erlaubt ist und die Daten noch existieren.
 +
 
 +
==Warum das forensisch wichtig ist==
 +
*Scalpel findet nur exakt definierte Dateitypen
 +
*Keine Heuristik
 +
*Kein Erraten
 +
*Jeder Fund ist reproduzierbar und erklärbar
  
 
==Merksatz==
 
==Merksatz==
*Scalpel zeigt, dass Daten existierten – nicht ihre Geschichte.
+
*Bei Scalpel entscheidet die Signatur – nicht der Dateiname.

Aktuelle Version vom 9. Februar 2026, 19:06 Uhr

Scalpel (Forensik)

Wichtige Klarstellung zur Konfiguration

  • Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
  • Jeder Dateityp ist vollständig definiert:
    • Dateiendung
    • Aktiv/Deaktiviert
    • Maximale Dateigröße
    • Header-Signatur
    • Footer-Signatur
  • Neue Zeilen wie „png y 5000000“ funktionieren NICHT

Prinzip

  • Alle Dateitypen sind standardmäßig auskommentiert
  • Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
  • Header und Footer dürfen nicht verändert werden

Korrektes Vorgehen

  • nano /etc/scalpel/scalpel.conf

PNG aktivieren

Original (auskommentiert)
# png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
Aktiv (Kommentarzeichen entfernen)
png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82

PDF aktivieren

Original (auskommentiert)
# pdf y 20000000 %PDF %EOF
Aktiv (Kommentarzeichen entfernen)
pdf y 20000000 %PDF %EOF

Bedeutung der Felder

  • png / pdf
    • Dateiendung
  • y
    • Dateityp aktiv
  • 5000000 / 20000000
    • Maximale Dateigröße in Bytes
  • Header-Signatur
    • Beginn der Datei
  • Footer-Signatur
    • Ende der Datei

Analyse starten

  • scalpel stick.img -o scalpel-output

Ergebnis

  • Scalpel legt ein Ausgabeverzeichnis an
  • Unterordner nach Dateitypen (png/, pdf/)
  • Dateien mit generischen Namen
  • Keine ursprünglichen Metadaten

Wichtig

  • Wenn ein Dateityp nicht aktiviert ist, wird nichts gefunden
  • Wenn Daten überschrieben sind, kann nichts rekonstruiert werden
  • Gefundene Dateien haben keinen Kontext

Merksatz

  • Scalpel findet Dateien nur dann, wenn ihre Signatur erlaubt ist und die Daten noch existieren.

Warum das forensisch wichtig ist

  • Scalpel findet nur exakt definierte Dateitypen
  • Keine Heuristik
  • Kein Erraten
  • Jeder Fund ist reproduzierbar und erklärbar

Merksatz

  • Bei Scalpel entscheidet die Signatur – nicht der Dateiname.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Scalpel_Beispiele&oldid=66740