Scalpel Grundlagen

Aus Xinux Wiki
Version vom 9. Februar 2026, 18:44 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==Was ist Scalpel== *Scalpel ist ein forensisches File-Carving-Werkzeug *Es analysiert Rohdaten wie Disk-Images oder Datenträger *Das Dateisystem wird vollst…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Was ist Scalpel

  • Scalpel ist ein forensisches File-Carving-Werkzeug
  • Es analysiert Rohdaten wie Disk-Images oder Datenträger
  • Das Dateisystem wird vollständig ignoriert
  • Scalpel arbeitet ausschließlich auf dem Datenstrom

Wie arbeitet Scalpel

  • Das Image wird byteweise gelesen
  • Scalpel sucht nach bekannten Dateisignaturen
    • Datei-Header
    • optional Datei-Footer
  • Gefundene Datenbereiche werden extrahiert
  • Die Extraktion erfolgt strikt regelbasiert

Konfigurationsprinzip

  • Scalpel arbeitet nur mit expliziten Regeln
  • Welche Dateitypen gesucht werden, steht in scalpel.conf
  • Nicht aktivierte Dateitypen werden ignoriert
  • Keine Heuristik, kein automatisches „Erraten“

Was Scalpel liefern kann

  • Nachweis, dass bestimmte Dateitypen im Datenstrom vorhanden waren
  • Rekonstruktion von Datei-Inhalten
  • Reproduzierbare und nachvollziehbare Ergebnisse

Was Scalpel nicht liefern kann

  • Keine Dateinamen
  • Keine Verzeichnisstruktur
  • Keine Zeitstempel
  • Keine Benutzer- oder Besitzinformationen
  • Keine Aussage über Entstehung oder Nutzung

Forensische Bedeutung

  • Scalpel beantwortet die Frage:
    • „Welche Daten waren physisch auf dem Medium vorhanden?“
  • Nicht:
    • „Wie hieß die Datei?“
    • „Wo lag sie?“
    • „Wem gehörte sie?“
Abgerufen von „http://wiki.ixheim.de/index.php?title=Scalpel_Grundlagen&oldid=66729