Rubrik "Carving"

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.

"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.

Golden G. Richard III, Vassil Roussev und Lodovico Marziale beschreiben einen Carver der auf lokalen Speichermedien sowie über ein Netz arbeitet. Ihren Aufsatz In-Place File Carving stellten die Autoren auf der 3. jährlichen Konferenz der IFIP-Arbeitsgruppe 11.9 vor.

Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.

Golden Richard hat die Version 1.60 des Carvers Scalpel veröffentlicht. Diese Version unterstützt erstmals den neuen Ansatz des In-Place Carvings.

Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.

Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.