Scalpel (Forensik)

Wichtige Klarstellung zur Konfiguration

• Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
• Jeder Dateityp ist vollständig definiert:
  • Dateiendung
  • Aktiv/Deaktiviert
  • Maximale Dateigröße
  • Header-Signatur
  • Footer-Signatur
• Neue Zeilen wie „png y 5000000“ funktionieren NICHT

Prinzip

• Alle Dateitypen sind standardmäßig auskommentiert
• Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
• Header und Footer dürfen nicht verändert werden

Korrektes Vorgehen

• nano /etc/scalpel/scalpel.conf

PNG aktivieren

Original (auskommentiert)

# png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82

Aktiv (Kommentarzeichen entfernen)

png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82

PDF aktivieren

Original (auskommentiert)

# pdf y 20000000 %PDF %EOF

Aktiv (Kommentarzeichen entfernen)

pdf y 20000000 %PDF %EOF

Bedeutung der Felder

• png / pdf
  • Dateiendung
• y
  • Dateityp aktiv
• 5000000 / 20000000
  • Maximale Dateigröße in Bytes
• Header-Signatur
  • Beginn der Datei
• Footer-Signatur
  • Ende der Datei

Analyse starten

• scalpel stick.img -o scalpel-output

Ergebnis

• Scalpel legt ein Ausgabeverzeichnis an
• Unterordner nach Dateitypen (png/, pdf/)
• Dateien mit generischen Namen
• Keine ursprünglichen Metadaten

Wichtig

• Wenn ein Dateityp nicht aktiviert ist, wird nichts gefunden
• Wenn Daten überschrieben sind, kann nichts rekonstruiert werden
• Gefundene Dateien haben keinen Kontext

Merksatz

• Scalpel findet Dateien nur dann, wenn ihre Signatur erlaubt ist und die Daten noch existieren.

Warum das forensisch wichtig ist

• Scalpel findet nur exakt definierte Dateitypen
• Keine Heuristik
• Kein Erraten
• Jeder Fund ist reproduzierbar und erklärbar

Merksatz

• Bei Scalpel entscheidet die Signatur – nicht der Dateiname.