Foremost Beispiele: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=Forensisches Demo-Szenario: Foremost (File Carving)= ==Ziel des Szenarios== *Aufzeigen, dass gelöschte Dateien trotz intaktem oder zerstörtem Dateisystem a…“)
 
Zeile 1: Zeile 1:
=Forensisches Demo-Szenario: Foremost (File Carving)=
+
=Forensisches Demo-Szenario: Foremost=
  
==Ziel des Szenarios==
+
==Ziel==
*Aufzeigen, dass gelöschte Dateien trotz intaktem oder zerstörtem Dateisystem aus einem Rohdatenabbild wiederhergestellt werden können
+
*Demonstration von File Carving
*Aha-Effekt: „Datei gelöscht“ ≠ „Daten weg“
+
*Aha-Effekt: Gelöschte Dateien sind noch rekonstruierbar
 +
*Trennung von Dateisystem-Sicht und Rohdaten-Sicht
  
 
==Ausgangslage==
 
==Ausgangslage==
*Linux-System mit ext4
+
*Linux-System
*USB-Stick oder Loop-Device
+
*Loop-Device als Testmedium
*Eine Bilddatei (JPEG) und ein PDF
+
*Zwei reale Dateien:
*Dateien werden absichtlich gelöscht
+
**tux.png
 +
**daemon.pdf
  
==Schritt 1: Testmedium vorbereiten==
+
==Testmedium vorbereiten==
 
*dd if=/dev/zero of=stick.img bs=1M count=100
 
*dd if=/dev/zero of=stick.img bs=1M count=100
 
*mkfs.ext4 stick.img
 
*mkfs.ext4 stick.img
Zeile 17: Zeile 19:
 
*mount -o loop stick.img /mnt/forensic
 
*mount -o loop stick.img /mnt/forensic
  
==Schritt 2: Dateien erzeugen==
+
==Dateien beschaffen==
*cp beispiel.jpg /mnt/forensic/
+
*wget https://xinux.de/downloads/forensic/tux.png
*cp beispiel.pdf /mnt/forensic/
+
*wget https://xinux.de/downloads/forensic/daemon.pdf
 +
 
 +
==Dateien auf das Medium kopieren==
 +
*cp tux.png /mnt/forensic/
 +
*cp daemon.pdf /mnt/forensic/
 
*sync
 
*sync
  
==Schritt 3: Dateien „löschen“==
+
==Dateien löschen==
*rm /mnt/forensic/beispiel.jpg
+
*rm /mnt/forensic/tux.png
*rm /mnt/forensic/beispiel.pdf
+
*rm /mnt/forensic/daemon.pdf
 
*sync
 
*sync
 
*umount /mnt/forensic
 
*umount /mnt/forensic
  
 
;Beobachtung
 
;Beobachtung
*Dateien sind aus Sicht des Dateisystems weg
+
*Dateien sind für das Betriebssystem verschwunden
*Kein Zugriff mehr über normale Mittel
+
*Kein Zugriff über ls oder Dateimanager möglich
  
==Schritt 4: Forensisches Image analysieren==
+
==Forensische Analyse==
 
*foremost -i stick.img -o foremost-output
 
*foremost -i stick.img -o foremost-output
  
==Schritt 5: Ergebnisse auswerten==
+
==Ergebnis prüfen==
 
*cd foremost-output
 
*cd foremost-output
 
*ls
 
*ls
  
 
;Typisches Ergebnis
 
;Typisches Ergebnis
*Ordner jpg/ pdf/
+
*Ordner png/ und pdf/
*Dateien mit generischen Namen (z. B. 00012345.jpg)
+
*Dateien mit generischen Namen
*audit.txt mit Laufzeit und Trefferanzahl
+
*audit.txt mit Analyseinformationen
  
==Didaktischer Kern==
+
==Didaktische Erklärung==
 +
*rm löscht nur Dateisystem-Referenzen
 +
*Die Datenblöcke bleiben unverändert
 
*Foremost ignoriert das Dateisystem vollständig
 
*Foremost ignoriert das Dateisystem vollständig
*Es sucht nur nach Datei-Headern und -Footern
+
*Es arbeitet ausschließlich auf dem Datenstrom
*Keine Metadaten, keine Namen, kein Kontext
 
*NUR der Datenstrom zählt
 
 
 
==Forensische Bewertung==
 
*Nachweis: Diese Daten waren physisch auf dem Medium vorhanden
 
*Kein Nachweis:
 
**wem die Datei gehörte
 
**wann sie erstellt wurde
 
**wie sie hieß
 
**wo sie lag
 
  
==Typische Prüfer-/Teilnehmerfrage==
+
==Forensische Aussagekraft==
;„Warum finde ich die Datei, obwohl sie gelöscht ist?“
+
*Beweisbar:
*rm entfernt nur Referenzen im Dateisystem
+
**Diese Dateien waren physisch auf dem Medium vorhanden
*Die Datenblöcke bleiben unverändert, bis sie überschrieben werden
+
*Nicht beweisbar:
 +
**Dateiname
 +
**Pfad
 +
**Zeitstempel
 +
**Benutzer
  
 
==Abgrenzung==
 
==Abgrenzung==
*Foremost ≠ Sleuth Kit
+
*Foremost arbeitet roh (Header/Footer)
*Foremost arbeitet roh
 
 
*Sleuth Kit arbeitet metadatenbasiert
 
*Sleuth Kit arbeitet metadatenbasiert
*Beides zusammen ergibt ein vollständiges forensisches Bild
+
*Beide Werkzeuge ergänzen sich
  
 
==Merksatz==
 
==Merksatz==
 
*Foremost beweist Existenz von Daten – nicht deren Geschichte.
 
*Foremost beweist Existenz von Daten – nicht deren Geschichte.

Version vom 9. Februar 2026, 18:31 Uhr

Forensisches Demo-Szenario: Foremost

Ziel

  • Demonstration von File Carving
  • Aha-Effekt: Gelöschte Dateien sind noch rekonstruierbar
  • Trennung von Dateisystem-Sicht und Rohdaten-Sicht

Ausgangslage

  • Linux-System
  • Loop-Device als Testmedium
  • Zwei reale Dateien:
    • tux.png
    • daemon.pdf

Testmedium vorbereiten

  • dd if=/dev/zero of=stick.img bs=1M count=100
  • mkfs.ext4 stick.img
  • mkdir /mnt/forensic
  • mount -o loop stick.img /mnt/forensic

Dateien beschaffen

Dateien auf das Medium kopieren

  • cp tux.png /mnt/forensic/
  • cp daemon.pdf /mnt/forensic/
  • sync

Dateien löschen

  • rm /mnt/forensic/tux.png
  • rm /mnt/forensic/daemon.pdf
  • sync
  • umount /mnt/forensic
Beobachtung
  • Dateien sind für das Betriebssystem verschwunden
  • Kein Zugriff über ls oder Dateimanager möglich

Forensische Analyse

  • foremost -i stick.img -o foremost-output

Ergebnis prüfen

  • cd foremost-output
  • ls
Typisches Ergebnis
  • Ordner png/ und pdf/
  • Dateien mit generischen Namen
  • audit.txt mit Analyseinformationen

Didaktische Erklärung

  • rm löscht nur Dateisystem-Referenzen
  • Die Datenblöcke bleiben unverändert
  • Foremost ignoriert das Dateisystem vollständig
  • Es arbeitet ausschließlich auf dem Datenstrom

Forensische Aussagekraft

  • Beweisbar:
    • Diese Dateien waren physisch auf dem Medium vorhanden
  • Nicht beweisbar:
    • Dateiname
    • Pfad
    • Zeitstempel
    • Benutzer

Abgrenzung

  • Foremost arbeitet roh (Header/Footer)
  • Sleuth Kit arbeitet metadatenbasiert
  • Beide Werkzeuge ergänzen sich

Merksatz

  • Foremost beweist Existenz von Daten – nicht deren Geschichte.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Foremost_Beispiele&oldid=66724