Scalpel Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 30: | Zeile 30: | ||
==PDF aktivieren== | ==PDF aktivieren== | ||
;Original (auskommentiert) | ;Original (auskommentiert) | ||
| − | # pdf y 20000000 %PDF %EOF | + | # pdf y 20000000 %PDF %EOF |
;Aktiv (Kommentarzeichen entfernen) | ;Aktiv (Kommentarzeichen entfernen) | ||
| − | pdf y 20000000 %PDF %EOF | + | pdf y 20000000 %PDF %EOF |
==Bedeutung der Felder== | ==Bedeutung der Felder== | ||
| Zeile 46: | Zeile 46: | ||
*Footer-Signatur | *Footer-Signatur | ||
**Ende der Datei | **Ende der Datei | ||
| + | ==Analyse starten== | ||
| + | *scalpel stick.img -o scalpel-output | ||
| + | |||
| + | ==Ergebnis== | ||
| + | *Scalpel legt ein Ausgabeverzeichnis an | ||
| + | *Unterordner nach Dateitypen (png/, pdf/) | ||
| + | *Dateien mit generischen Namen | ||
| + | *Keine ursprünglichen Metadaten | ||
| + | |||
| + | ==Wichtig== | ||
| + | *Wenn ein Dateityp nicht aktiviert ist, wird nichts gefunden | ||
| + | *Wenn Daten überschrieben sind, kann nichts rekonstruiert werden | ||
| + | *Gefundene Dateien haben keinen Kontext | ||
| + | |||
| + | ==Merksatz== | ||
| + | *Scalpel findet Dateien nur dann, wenn ihre Signatur erlaubt ist und die Daten noch existieren. | ||
==Warum das forensisch wichtig ist== | ==Warum das forensisch wichtig ist== | ||
Aktuelle Version vom 9. Februar 2026, 19:06 Uhr
Scalpel (Forensik)
Wichtige Klarstellung zur Konfiguration
- Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
- Jeder Dateityp ist vollständig definiert:
- Dateiendung
- Aktiv/Deaktiviert
- Maximale Dateigröße
- Header-Signatur
- Footer-Signatur
- Neue Zeilen wie „png y 5000000“ funktionieren NICHT
Prinzip
- Alle Dateitypen sind standardmäßig auskommentiert
- Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
- Header und Footer dürfen nicht verändert werden
Korrektes Vorgehen
- nano /etc/scalpel/scalpel.conf
PNG aktivieren
- Original (auskommentiert)
# png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
- Aktiv (Kommentarzeichen entfernen)
png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
PDF aktivieren
- Original (auskommentiert)
# pdf y 20000000 %PDF %EOF
- Aktiv (Kommentarzeichen entfernen)
pdf y 20000000 %PDF %EOF
Bedeutung der Felder
- png / pdf
- Dateiendung
- y
- Dateityp aktiv
- 5000000 / 20000000
- Maximale Dateigröße in Bytes
- Header-Signatur
- Beginn der Datei
- Footer-Signatur
- Ende der Datei
Analyse starten
- scalpel stick.img -o scalpel-output
Ergebnis
- Scalpel legt ein Ausgabeverzeichnis an
- Unterordner nach Dateitypen (png/, pdf/)
- Dateien mit generischen Namen
- Keine ursprünglichen Metadaten
Wichtig
- Wenn ein Dateityp nicht aktiviert ist, wird nichts gefunden
- Wenn Daten überschrieben sind, kann nichts rekonstruiert werden
- Gefundene Dateien haben keinen Kontext
Merksatz
- Scalpel findet Dateien nur dann, wenn ihre Signatur erlaubt ist und die Daten noch existieren.
Warum das forensisch wichtig ist
- Scalpel findet nur exakt definierte Dateitypen
- Keine Heuristik
- Kein Erraten
- Jeder Fund ist reproduzierbar und erklärbar
Merksatz
- Bei Scalpel entscheidet die Signatur – nicht der Dateiname.