elfert.de · Forensische Tools für Datei-Wiederherstellung ·

· Seitenmenü ; · Eigene Services : · Nützliches unter Linux (Debian) : · Mikrocontroller/Programmierung : · Elektronik : · Diverses : · Lustiges : · Sonstiges :


{Forensische Tools für Datei-Wiederherstellung}
Voraussetzung ist die Installation von "foremost" und "sleuthkit". "sleuthkit" bietet eine Vielzahl von Tools zum Extrahieren von Rohdaten aus einem Laufwerk. Das wichtigste Tool ist "dls" welches "dd" ähnlich ist. Der Unterschied ist, daß "dls" nur Rohdaten aus den nicht genutzten Teilen eines Laufwerks extrahiert, in denen gelöschte Dateien gefunden werden können. Das spart Zeit für spätere Schritte, weil nicht das gesamte Laufwerk nach gelöschten Daten durchsucht werden muss.

Installation :

apt-get install sleuthkit
apt-get install foremost

Das folgende Beispiel zeigt, wie der nicht genutzte Bereich des Laufwerkes "/dev/sdb1" analysiert wird. Der freie Bereich wird als Image namens "rawdata.dd" gespeichert und kann für spätere Analysen genutzt werden.

dls /dev/sdb1 > ~/rawdata.dd

"foremost" extrahiert Dateien von Images. In Verbindung mit "dls" kann es wie folgt genutzt werden:

dls /dev/sdb1 | foremost

Um nicht alle Dateien zu extrahieren, kann auch nach einzelnen Datei-Typen gesucht werden. Folgendes Beispiel zeigt, wie JPEG-Dateien wiederhergestellt werden können :

dls /dev/sdb1 | foremost -tjpg

Weitere Tool-Beschreibungen folgen...

Folgende Liste zeigt die wichtigsten forensischen Tools :

autopsy
chaosreader
dares
dvdisaster
dvdisaster-doc
foremost
gpart
magicrescue
myrescue
ntfsprogs
rdd
recoverdm
recoverjpeg
rephrase
scalpel
scanmem
sdd
simhash
sleuthkit
testdisk


 
· · · · © elfert.de · · Tobias Elfert · · · ·