Scalpel Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 30: | Zeile 30: | ||
==PDF aktivieren== | ==PDF aktivieren== | ||
;Original (auskommentiert) | ;Original (auskommentiert) | ||
| − | # pdf y 20000000 %PDF %EOF | + | # pdf y 20000000 %PDF %EOF |
;Aktiv (Kommentarzeichen entfernen) | ;Aktiv (Kommentarzeichen entfernen) | ||
| − | pdf y 20000000 %PDF %EOF | + | pdf y 20000000 %PDF %EOF |
==Bedeutung der Felder== | ==Bedeutung der Felder== | ||
Version vom 9. Februar 2026, 18:55 Uhr
Scalpel (Forensik)
Wichtige Klarstellung zur Konfiguration
- Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
- Jeder Dateityp ist vollständig definiert:
- Dateiendung
- Aktiv/Deaktiviert
- Maximale Dateigröße
- Header-Signatur
- Footer-Signatur
- Neue Zeilen wie „png y 5000000“ funktionieren NICHT
Prinzip
- Alle Dateitypen sind standardmäßig auskommentiert
- Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
- Header und Footer dürfen nicht verändert werden
Korrektes Vorgehen
- nano /etc/scalpel/scalpel.conf
PNG aktivieren
- Original (auskommentiert)
# png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
- Aktiv (Kommentarzeichen entfernen)
png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82
PDF aktivieren
- Original (auskommentiert)
# pdf y 20000000 %PDF %EOF
- Aktiv (Kommentarzeichen entfernen)
pdf y 20000000 %PDF %EOF
Bedeutung der Felder
- png / pdf
- Dateiendung
- y
- Dateityp aktiv
- 5000000 / 20000000
- Maximale Dateigröße in Bytes
- Header-Signatur
- Beginn der Datei
- Footer-Signatur
- Ende der Datei
Warum das forensisch wichtig ist
- Scalpel findet nur exakt definierte Dateitypen
- Keine Heuristik
- Kein Erraten
- Jeder Fund ist reproduzierbar und erklärbar
Merksatz
- Bei Scalpel entscheidet die Signatur – nicht der Dateiname.