Forensisches Demo-Szenario: Foremost (File Carving)

Ziel des Szenarios

• Aufzeigen, dass gelöschte Dateien trotz intaktem oder zerstörtem Dateisystem aus einem Rohdatenabbild wiederhergestellt werden können
• Aha-Effekt: „Datei gelöscht“ ≠ „Daten weg“

Ausgangslage

• Linux-System mit ext4
• USB-Stick oder Loop-Device
• Eine Bilddatei (JPEG) und ein PDF
• Dateien werden absichtlich gelöscht

Schritt 1: Testmedium vorbereiten

• dd if=/dev/zero of=stick.img bs=1M count=100
• mkfs.ext4 stick.img
• mkdir /mnt/forensic
• mount -o loop stick.img /mnt/forensic

Schritt 2: Dateien erzeugen

• cp beispiel.jpg /mnt/forensic/
• cp beispiel.pdf /mnt/forensic/
• sync

Schritt 3: Dateien „löschen“

• rm /mnt/forensic/beispiel.jpg
• rm /mnt/forensic/beispiel.pdf
• sync
• umount /mnt/forensic

Beobachtung

• Dateien sind aus Sicht des Dateisystems weg
• Kein Zugriff mehr über normale Mittel

Schritt 4: Forensisches Image analysieren

• foremost -i stick.img -o foremost-output

Schritt 5: Ergebnisse auswerten

• cd foremost-output
• ls

Typisches Ergebnis

• Ordner jpg/ pdf/
• Dateien mit generischen Namen (z. B. 00012345.jpg)
• audit.txt mit Laufzeit und Trefferanzahl

Didaktischer Kern

• Foremost ignoriert das Dateisystem vollständig
• Es sucht nur nach Datei-Headern und -Footern
• Keine Metadaten, keine Namen, kein Kontext
• NUR der Datenstrom zählt

Forensische Bewertung

• Nachweis: Diese Daten waren physisch auf dem Medium vorhanden
• Kein Nachweis:
  • wem die Datei gehörte
  • wann sie erstellt wurde
  • wie sie hieß
  • wo sie lag

Typische Prüfer-/Teilnehmerfrage

„Warum finde ich die Datei, obwohl sie gelöscht ist?“

• rm entfernt nur Referenzen im Dateisystem
• Die Datenblöcke bleiben unverändert, bis sie überschrieben werden

Abgrenzung

• Foremost ≠ Sleuth Kit
• Foremost arbeitet roh
• Sleuth Kit arbeitet metadatenbasiert
• Beides zusammen ergibt ein vollständiges forensisches Bild

Merksatz

• Foremost beweist Existenz von Daten – nicht deren Geschichte.