Scalpel Beispiele

Aus Xinux Wiki

Version vom 9. Februar 2026, 19:00 Uhr von Thomas.will (Diskussion | Beiträge) (→‎PDF aktivieren)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Scalpel (Forensik)

Wichtige Klarstellung zur Konfiguration

Scalpel verwendet eine feste Signaturdatenbank in /etc/scalpel/scalpel.conf
Jeder Dateityp ist vollständig definiert:
- Dateiendung
- Aktiv/Deaktiviert
- Maximale Dateigröße
- Header-Signatur
- Footer-Signatur
Neue Zeilen wie „png y 5000000“ funktionieren NICHT

Prinzip

Alle Dateitypen sind standardmäßig auskommentiert
Ein Dateityp wird aktiviert, indem die komplette Zeile entkommentiert wird
Header und Footer dürfen nicht verändert werden

Korrektes Vorgehen

nano /etc/scalpel/scalpel.conf

PNG aktivieren

Original (auskommentiert)

png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82

Aktiv (Kommentarzeichen entfernen)

png y 5000000 \x89PNG\r\n\x1a\n \x49\x45\x4e\x44\xae\x42\x60\x82

PDF aktivieren

Original (auskommentiert)

# pdf y 20000000 %PDF %EOF

Aktiv (Kommentarzeichen entfernen)

pdf y 20000000 %PDF %EOF

Bedeutung der Felder

png / pdf
- Dateiendung
y
- Dateityp aktiv
5000000 / 20000000
- Maximale Dateigröße in Bytes
Header-Signatur
- Beginn der Datei
Footer-Signatur
- Ende der Datei

Warum das forensisch wichtig ist

Scalpel findet nur exakt definierte Dateitypen
Keine Heuristik
Kein Erraten
Jeder Fund ist reproduzierbar und erklärbar

Merksatz

Bei Scalpel entscheidet die Signatur – nicht der Dateiname.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Scalpel_Beispiele&oldid=66738“