Foregone - ein weiterer Foremost-Klon

Im Moment ist es wohl en vogue, das bekannte Foremost neu zu implementieren. LURHQ hat heute Foregone vorgestellt, einen in Perl programmierten Foremost-Klon. Nach dem Test bleibt nur eine Frage: Wer braucht das?

Mit Foregone ist die Menge der File-Carver um ein weiteres Programm angewachsen. Es ist in Perl programmiert, was schon einmal keine Geschwindigkeitsrekorde erwarten lässt. Dafür ist das Programm übersichtlich, leicht zu ändern und vor allem auf jeder Plattform verfügbar, auf der sich der Perl-Interpreter compilieren lässt.

Foregone habe ich dem gleichen Test unterzogen wie zuvor schon Scalpel und das aktuelle Foremost. Die detaillierte Wiedergabe der Ergebnisse erspare ich mir an dieser Stelle. Foregone benötigt mehr als doppelt so lange wie Scalpel und Foremost. Aus Geschwindigkeitsgründen wird man dieses Programm also bestimmt nicht einsetzen.

Die Konfiguration erfolgt im Programm selbst. Hierzu sind ein paar Variablen mit charakteristischen Bytefolgen für Beginn und Ende des gewünschten Dateiformats zu belegen. Hier ein Beispiel für Adobe PDF:

## PDF ##
my $header = "\x25\x50\x44\x46\x2D";
my $footer = "\x25\x25\x45\x4F\x46";
my $extension = "pdf";
my $mustfind = "";
my $mustfind2 = "";

Damit wird ein weiterer Nachteil deutlich: Foregone kann im Gegensatz zu den beiden anderen Programmen mit jedem Durchlauf nur Dateien eines Typs extrahieren. Wegen seiner Flexibilität wird man Foregone also auch nicht einsetzen.

Wie zuvor schon die beiden anderen Programme, so sollte auch Forgone Microsoft Word Dateien aus dem Abbild eines Dateisystems extrahieren. Ich verwendete den Header aus der Konfigurationsdatei von Foremost. Den Footer ließ ich leer. Das mit diesen Einstellungen erzielte Ergebnis war enttäuschend. Keine einzige der wiederhergestellten Dateien war brauchbar. Wegen seiner Genauigkeit wird man Foregone somit auch nicht einsetzen.

Foregone ist mit Version 0.1 sicherlich noch in einem sehr frühen Stadium seiner Entwicklung. Vielleicht werden weitere Versionen die geschilderten Probleme lösen. Meiner Meinung ist das Programm noch nicht tauglich für den Laboralltag.

Wer also benötigt Foregone derzeit? Jeder, der nicht mit MacOS, BSD, Linux oder Windows arbeitet, auf diesem System einen Perl Interpreter installiert hat und damit Dateien aus einem Abbild extrahieren möchte, die sich über signifikante Header und Footer identifizieren lassen. Viele Anwender werden das sicherlich nicht sein.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.