Was ist Dateischnitzen?
File Carving ist eine Technik, die in der Computerforensik verwendet wird, um eine formatierte Datei oder Daten von einem Festplattenlaufwerk oder einem anderen Speichergerät ohne die Unterstützung des Dateisystems zu extrahieren, das die Datei ursprünglich erstellt hat. Es gibt eine Reihe verschiedener Methoden und Algorithmen, die verwendet werden können. Der Prozess umfasst jedoch im Wesentlichen das Durchsuchen der auf einem Speichergerät verfügbaren Daten und dann auf die eine oder andere Weise das Überprüfen, ob diese Informationen eine Datei sind oder enthalten einige vordefinierte Informationen von Bedeutung. Ein Dateisystem ist während des Schnitzens von Dateien nicht vorhanden. Daher müssen alle Informationen auf einer Festplatte auf ihren Kontext überprüft werden. Dies bedeutet, dass der Vorgang lange dauern kann und je nach Status des Speichergeräts u niedrige Erfolgsquote. Es ist unglaublich schwierig, aber möglich, Dateien von Laufwerken mit hoher Dateifragmentierung zu erstellen. Das Endergebnis eines erfolgreichen Datei-Schnitzens ist die Rekonstruktion einer Datei in der Weise, dass ihr Inhalt vollständig vorhanden ist, obwohl ein akzeptables Ergebnis in einigen Situationen eine teilweise rekonstruierte Datei sein kann, wenn genügend relevante Informationen wiederhergestellt werden.
In einigen Fällen können durch Hardwarefehler, menschliches Versagen oder böswillige Angriffe das Dateisystem eines Speichergeräts und alle darauf enthaltenen Informationen gelöscht werden. Abhängig davon, wie die Informationen entfernt wurden, enthält der Datenträger selbst möglicherweise noch alle Informationen, die zuvor vorhanden waren, jedoch in einem ungeordneten, unorganisierten Bytestrom. Ein Mechanismus, der das Schnitzen von Dateien ermöglicht, besteht darin, dass viele Dateisysteme, die eine Datei von einem Laufwerk löschen, die Daten nicht entfernen, sondern diesen Bereich der Festplatte als für neue Dateien verfügbar markieren. Die alten Daten bleiben so lange erhalten, bis sie überschrieben werden. Auch in diesem Fall besteht die Möglichkeit, dass sie wiederhergestellt werden können.
Eine sehr grundlegende Technik, die beim Schnitzen von Dateien verwendet wird, besteht darin, Informationsblöcke auf einer Festplatte nach Dateisignaturen zu durchsuchen. Hierbei handelt es sich um strukturierte Daten, die den Anfang einer Datei eines bestimmten Typs angeben. Ein Beispiel ist der Anfang einer Bilddatei, die möglicherweise die Breite und Höhe des Bildes sowie einige Farbpalettendaten enthält. Sollte ein Datenblock gefunden werden, der eindeutig mit der Überschrift eines Dateityps übereinstimmt, wird versucht, die auf die Überschrift folgenden Daten zu interpretieren, um festzustellen, ob es sich tatsächlich um die Dateidaten handelt. Bei Erfolg kann dies zur Rekonstruktion der Originaldatei führen.
Eine Komplikation, die beim Schnitzen von Dateien auftritt, hat mit fragmentierten Dateien zu tun, dh, die Datei wird an zwei oder mehr verschiedenen physischen Speicherorten auf einer Festplatte gespeichert. Einige Techniken versuchen nicht, diese Dateitypen zu rekonstruieren. Andere Methoden verwenden vorhandene Dateisystemkenntnisse, um zu versuchen, die Position der anderen Teile einer Datei zu bestimmen, obwohl dieser Vorgang sehr schwierig ist.