File Carving
Was ist File Carving?
File CarvingEine forensische Technik, die Dateien aus nicht zugewiesenem Speicher oder Rohdaten anhand von Dateisignaturen, Headern und Footern wiederherstellt, ohne Dateisystem-Metadaten zu nutzen.
File Carving rekonstruiert gelöschte oder fragmentierte Dateien direkt aus einem Festplattenabbild, Speicherauszug oder Netzwerkmitschnitt, selbst wenn die zugehörigen Dateisystem-Einträge fehlen oder beschädigt sind. Carver erkennen Kandidaten anhand bekannter Magic Bytes (JPEG FFD8FFE0, PDF %PDF-) und lesen bis zu einem bekannten Footer oder verwenden Größen-Heuristiken. Übliche Werkzeuge sind PhotoRec, Scalpel, Foremost, bulk_extractor und Magnet AXIOM. Fortgeschrittene Verfahren (SmartCarving) setzen fragmentierte Dateien strukturbewusst zusammen. Carving ist unverzichtbar, wenn Angreifer Artefakte löschen oder Medien formatiert wurden, doch die Ergebnisse müssen validiert werden, da Fehlalarme häufig sind.
● Beispiele
- 01
Wiederherstellung gelöschter JPEG-Bilder von einem geleerten USB-Stick mit PhotoRec.
- 02
Carving von Office-Dokumenten aus einem Speicherabbild mit bulk_extractor.
● Häufige Fragen
Was ist File Carving?
Eine forensische Technik, die Dateien aus nicht zugewiesenem Speicher oder Rohdaten anhand von Dateisignaturen, Headern und Footern wiederherstellt, ohne Dateisystem-Metadaten zu nutzen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet File Carving?
Eine forensische Technik, die Dateien aus nicht zugewiesenem Speicher oder Rohdaten anhand von Dateisignaturen, Headern und Footern wiederherstellt, ohne Dateisystem-Metadaten zu nutzen.
Wie schützt man sich gegen File Carving?
Schutzmaßnahmen gegen File Carving kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für File Carving?
Übliche alternative Bezeichnungen: Daten-Carving, Signaturbasierte Wiederherstellung.