Entropie markiert Dateigrenzen

Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.

Die Arbeitsgruppe nutzte das kostenlos verfügbare Programm FTimes und seine mächtige Beschreibungssprache XMagic, um die Topologie der Ausgangsdaten zu erkunden. XMagic kann außerdem auch die Häufigkeit vieler Datentypen der Programmiersprache C bestimmen sowie per Datenblock Durchschnittswert und Entropie berechnen.

Die Präsentation illustriert anhand einiger Beispiele, wie spontane Änderungen der blockweisen Entropie auf "Defektstellen" in rekonstruierten Dateien hinweisen. (Folien 34 ff.)

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12