LibCarvPath und CarvFS

Die beiden im Rahmen der Open Computer Forensics Architecture entwickelten Programme LibCarvPath und CarvFS implementieren Funktionen des In-Place Carvings.
CarvFS ist ein virtuelles Dateisystem. Es setzt auf FUSE, das Userland File System, auf. FUSE besorgt die Einbindung des Dateisystems in den Kernel. Allerdings steht FUSE auch nur für die Linux-Kernel der Serien 2.4.x und 2.6.x zur Verfügung. In dem virtuellen Dateisystem von CarvFS lassen sich nun Dateien wie gewohnt anlegen. Ein Dateiname wie zum Beispiel CarvFS/16384:128303104.crv beschreibt hierbei einen Datenblock, der am Offset 16384 beginnt und 128303104 Bytes lang ist. Innerhalb dieses Block lassen sich nun weitere Blöcke in gleicher Weise adressieren. Ein Block kann auch aus mehreren Fragmenten bestehen, die dann durch Unterstriche von einander getrennt werden. Dies führt zu komplexen Namen wie CarvFS/16384:128303104/8192:1024_12228_1024.crv. Das CarvFS-Projekt hat auch Patches für einige Programme des Sleuth Kits (TSK) entwickelt. Eine weitere Voraussetzung für die Compilierung von LibCarvPath und CarvFS ist die Installation der Bibliothek libewf für den Zugriff auf Abbilder im EnCase- und SMART-Format.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12