{Forensische Tools für Datei-Wiederherstellung}
Voraussetzung ist die Installation von "foremost" und "sleuthkit".
"sleuthkit" bietet eine Vielzahl von Tools zum Extrahieren von Rohdaten aus einem Laufwerk.
Das wichtigste Tool ist "dls" welches "dd" ähnlich ist.
Der Unterschied ist, daß "dls" nur Rohdaten aus den nicht genutzten Teilen eines Laufwerks extrahiert,
in denen gelöschte Dateien gefunden werden können. Das spart Zeit für spätere Schritte, weil nicht das gesamte Laufwerk
nach gelöschten Daten durchsucht werden muss.
Das folgende Beispiel zeigt, wie der nicht genutzte Bereich des Laufwerkes "/dev/sdb1" analysiert wird. Der freie Bereich wird
als Image namens "rawdata.dd" gespeichert und kann für spätere Analysen genutzt werden.
dls /dev/sdb1 > ~/rawdata.dd
"foremost" extrahiert Dateien von Images. In Verbindung mit "dls" kann es wie folgt genutzt werden:
dls /dev/sdb1 | foremost
Um nicht alle Dateien zu extrahieren, kann auch nach einzelnen Datei-Typen gesucht werden.
Folgendes Beispiel zeigt, wie JPEG-Dateien wiederhergestellt werden können :
dls /dev/sdb1 | foremost -tjpg
Weitere Tool-Beschreibungen folgen...
Folgende Liste zeigt die wichtigsten forensischen Tools :