Scalpel Beispiele
Version vom 9. Februar 2026, 18:45 Uhr von Thomas.will (Diskussion | Beiträge) (→Scalpel konfigurieren)
Ziel
- Demonstration, dass gelöschte Dateien im Datenstrom erhalten bleiben
Ausgangslage
- Linux-System
- Image mit ext4-Dateisystem
- Zwei Dateien:
- tux.png
- daemon.pdf
Testmedium vorbereiten
- dd if=/dev/zero of=stick.img bs=1M count=100
- mkfs.ext4 stick.img
- mkdir /mnt/forensic
- mount -o loop stick.img /mnt/forensic
Dateien beschaffen
- wget https://xinux.de/downloads/forensic/tux.png
- wget https://xinux.de/downloads/forensic/daemon.pdf
Dateien kopieren
- cp tux.png /mnt/forensic/
- cp daemon.pdf /mnt/forensic/
- sync
Dateien löschen
- rm /mnt/forensic/tux.png
- rm /mnt/forensic/daemon.pdf
- sync
- umount /mnt/forensic
Scalpel konfigurieren
- nano /etc/scalpel/scalpel.conf
- Aktivierte Dateitypen
png y 5000000 pdf y 20000000
Analyse durchführen
- scalpel stick.img -o scalpel-output
Ergebnis
- Scalpel extrahiert PNG- und PDF-Daten aus dem Image
- Dateien erhalten generische Namen
- Kein Bezug zu ursprünglichen Metadaten
Merksatz
- Scalpel zeigt, dass Daten existierten – nicht ihre Geschichte.