Scalpel Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | == | + | =Scalpel (Forensik)= |
| − | |||
| − | == | + | ==Wichtige Klarstellung zur Konfiguration== |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | *Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf | |
| − | * | + | *Jeder Dateityp ist vollständig definiert: |
| − | * | + | **Dateiendung |
| − | * | + | **Aktiv/Deaktiviert |
| − | * | + | **Maximale Dateigröße |
| − | * | + | **Header-Signatur |
| + | **Footer-Signatur | ||
| + | *Neue Zeilen wie „png y 5000000“ funktionieren NICHT | ||
| − | == | + | ==Prinzip== |
| − | * | + | *Alle Dateitypen sind standardmäßig auskommentiert |
| + | *Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird | ||
| + | *Header und Footer dürfen nicht verändert werden | ||
| − | == | + | ==Korrektes Vorgehen== |
| − | |||
| − | |||
| − | + | *nano /etc/scalpel/scalpel.conf | |
| − | * | ||
| − | |||
| − | |||
| − | == | + | ==PNG aktivieren== |
| − | + | ;Original (auskommentiert) | |
| − | + | # png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82 | |
| − | |||
| − | |||
| − | == | + | ;Aktiv (Kommentarzeichen entfernen) |
| − | + | png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82 | |
| + | |||
| + | ==PDF aktivieren== | ||
| + | ;Original (auskommentiert) | ||
| + | # pdf y 20000000 %PDF %EOF | ||
| − | ; | + | ;Aktiv (Kommentarzeichen entfernen) |
| − | + | pdf y 20000000 %PDF %EOF | |
| − | |||
| − | == | + | ==Bedeutung der Felder== |
| − | * | + | *png / pdf |
| + | **Dateiendung | ||
| + | *y | ||
| + | **Dateityp aktiv | ||
| + | *5000000 / 20000000 | ||
| + | **Maximale Dateigröße in Bytes | ||
| + | *Header-Signatur | ||
| + | **Beginn der Datei | ||
| + | *Footer-Signatur | ||
| + | **Ende der Datei | ||
| − | == | + | ==Warum das forensisch wichtig ist== |
| − | *Scalpel | + | *Scalpel findet nur exakt definierte Dateitypen |
| − | * | + | *Keine Heuristik |
| − | *Kein | + | *Kein Erraten |
| + | *Jeder Fund ist reproduzierbar und erklärbar | ||
==Merksatz== | ==Merksatz== | ||
| − | *Scalpel | + | *Bei Scalpel entscheidet die Signatur – nicht der Dateiname. |
Version vom 9. Februar 2026, 18:54 Uhr
Scalpel (Forensik)
Wichtige Klarstellung zur Konfiguration
- Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
- Jeder Dateityp ist vollständig definiert:
- Dateiendung
- Aktiv/Deaktiviert
- Maximale Dateigröße
- Header-Signatur
- Footer-Signatur
- Neue Zeilen wie „png y 5000000“ funktionieren NICHT
Prinzip
- Alle Dateitypen sind standardmäßig auskommentiert
- Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
- Header und Footer dürfen nicht verändert werden
Korrektes Vorgehen
- nano /etc/scalpel/scalpel.conf
PNG aktivieren
- Original (auskommentiert)
- png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
- Aktiv (Kommentarzeichen entfernen)
png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
PDF aktivieren
- Original (auskommentiert)
- pdf y 20000000 %PDF %EOF
- Aktiv (Kommentarzeichen entfernen)
pdf y 20000000 %PDF %EOF
Bedeutung der Felder
- png / pdf
- Dateiendung
- y
- Dateityp aktiv
- 5000000 / 20000000
- Maximale Dateigröße in Bytes
- Header-Signatur
- Beginn der Datei
- Footer-Signatur
- Ende der Datei
Warum das forensisch wichtig ist
- Scalpel findet nur exakt definierte Dateitypen
- Keine Heuristik
- Kein Erraten
- Jeder Fund ist reproduzierbar und erklärbar
Merksatz
- Bei Scalpel entscheidet die Signatur – nicht der Dateiname.