Foremost Grundlagen

Einordnung

• Foremost ist ein forensisches File-Carving-Werkzeug.
• Es arbeitet unabhängig vom Dateisystem direkt auf Rohdaten.
• Ziel ist das Wiederherstellen von Dateien anhand bekannter Dateisignaturen (Header/Footer).

Forensischer Zweck

• Wiederherstellung gelöschter Dateien
• Analyse beschädigter oder zerstörter Dateisysteme
• Auswertung von dd-Images, USB-Sticks, Speicherkarten
• Ergänzung zur Dateisystemanalyse (Inode-/Metadaten-basiert)

Arbeitsweise

• Blockweises Lesen des gesamten Datenstroms
• Suche nach bekannten Datei-Headern (z. B. JPG, PDF)
• Suche nach passenden Footern oder Nutzung heuristischer Längen
• Extraktion der gefundenen Daten in neue Dateien
• Protokollierung im Audit-Log

Eigenschaften

• Kein Zugriff auf Dateinamen
• Keine Verzeichnisstruktur
• Keine Zeitstempel
• Keine Benutzer- oder Rechteinformationen

Unterstützte Dateitypen (Auswahl)

• jpg, png, gif, bmp
• pdf, doc, xls
• zip, rar
• avi, mp4, mp3

Stärken

• Funktioniert ohne intaktes Dateisystem
• Sehr robust bei beschädigten Medien
• Einfach, deterministisch, gut reproduzierbar
• Gut geeignet für Schulungs- und Demo-Szenarien

Schwächen

• Fragmentierte Dateien oft unvollständig
• Kein Kontext zur Dateiherkunft
• Ergebnisse sind roh und müssen manuell bewertet werden
• Allein nicht beweiskräftig

Einordnung in der forensischen Analyse

• Nach Image-Erstellung (dd, EWF)
• Parallel zu Sleuth Kit / inode-basierter Analyse
• Vor manueller Sichtung, Hashing und Korrelation

Merksatz

• Foremost beantwortet nicht „wem gehörte die Datei“, sondern nur „diese Daten waren hier vorhanden“.