Carving an Ort und Stelle

Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.

Carving beruht auf dem Ansatz, dass Dateien mit einer charakteristischen Zeichenfolge beginnen: Bei Adobes Portable Document Format (PDF) ist dies zum Beispiel "%PDF", bei einem ZIP-Archiv sind es die Initialen des Autors "PK". In gleicher Weise lassen sich oft auch Signaturen für das Ende einer Datei finden. Ersatzweise kennt oder schätzt man die Länge der Datei.

Auf diese Weise lassen sich aus dem Abbild eines Datenträgers einzelne Dateien rekonstruieren. Das Verfahren schneidet hierbei alle Zeichen von der Start- bis einschließlich der End-Signatur heraus und legt sie in einer neuen Datei ab. Der Ausdruck "schneiden" (von engl.: to carve - schneiden) ist dabei nicht ganz richtig, denn die Zeichen einer identifizierten Datei werden nicht aus dem Abbild entfernt. Stattdessen wird der betroffene Abschnitt kopiert. Bei einem vollständig gefüllten Datenträger und optimaler Erkennung der Dateien ergibt sich ein Bedarf an Speicherkapazität ungefähr in der Größe des Abbildes. Allein für die vollständige Kopie des Abbildes ist auch eine entsprechende Zeitdauer zu veranschlagen.

Den Bedarf an Speicherplatz und Zeit soll nun das In-Place Carving lösen. Anstatt die gefundenen Daten zu kopieren, speichert das Verfahren nur noch ihre Start- und Endpositionen und gegebenenfalls eine Art Karte, die bereits zugeordnete von noch unzugeordneten Bereichen des Abbilds unterscheiden hilft. Die Speicherbedarf ist bei diesem Verfahren offensichtlich geringer. Der Zugriff auf die rekonstruierten Dateien kann dann aus dem Abbild und den Positionsangaben durch ein virtuelles Dateisystem (virtual file system, VFS) bei Bedarf hergestellt werden.

Der Hauptteil der Rechenzeit entfällt bei beiden Verfahren auf die Mustererkennung der Start- und End-Signaturen. Der Zeitaufwand zur Erstellung des Index ist gering gegenüber dem zur Kopie der gefundenen Dateien. Zusätzlicher Aufwand entsteht durch das benötigte VFS. Bei einen oder wenigen Sichtungsdurchgängen sollte sich dennoch eine Zeitersparnis ergeben. Für intensivere Untersuchungen einzelner Dateien sollte aber wie gewohnt eine Arbeitskopie erstellt werden.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12