Rubrik "Carving"

CarvFS auf dem Mac

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Folien vom 15. DFN-Workshop

Die Folien meines Vortrags über Grundlagen und neue Techniken des File Carvings sind jetzt online verfügbar. Eine Aufzeichnung des Vortrags kann gegen Gebühr im Archiv des Linux-Magazins abgerufen werden.

13.02.2008: DFN-Workshop "Sicherheit in vernetzten Systemen"

Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.

CarvFS im Einsatz

"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.

Artikel über In-Place Carving

Golden G. Richard III, Vassil Roussev und Lodovico Marziale beschreiben einen Carver der auf lokalen Speichermedien sowie über ein Netz arbeitet. Ihren Aufsatz In-Place File Carving stellten die Autoren auf der 3. jährlichen Konferenz der IFIP-Arbeitsgruppe 11.9 vor.

Entropie markiert Dateigrenzen

Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.

LibCarvPath und CarvFS

Die beiden im Rahmen der Open Computer Forensics Architecture entwickelten Programme LibCarvPath und CarvFS implementieren Funktionen des In-Place Carvings.

Scalpel Version 1.60

Golden Richard hat die Version 1.60 des Carvers Scalpel veröffentlicht. Diese Version unterstützt erstmals den neuen Ansatz des In-Place Carvings.

Carving an Ort und Stelle

Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.

Neue Rubrik "Carving"

Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.

 1 2 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12