Computerforensik. Wintersemester 2011/2012

Computerforensik Wintersemester 2011/2012 Harald Baier Kapitel 5: Analyse von FAT-Dateisystemen Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 2

Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 3 Grundlegendes zu FAT (1/2) Einfaches Dateisystem: Meist für DOS oder ältere Windows-Varianten Aber auch für UNIX u. Linux Verwendung z.b. für Flash-Speicher in Digitalkameras Wird daher auch in naher Zukunft von Bedeutung sein FAT = File Allocation Table Tabelle fester Größe, die Pointer auf FS-Blöcke enthält FS-Blöcke heißen in Microsoft-Terminologie Cluster Aus FAT-Pointern ist auch Belegtstatus der Cluster erkennbar Harald Baier Computerforensik h_da WS 2011/2012 4

Grundlegendes zu FAT (2/2) Drei unterschiedliche Grundvarianten: FATx mit x = 12, 16, 32 x ist die Länge eines FAT-Pointers in Bit Länge eines FAT-Eintrags bestimmt max. Cluster-Anzahl: Beispiel FAT16: Es gibt höchstens 2 1 6 = 65536 Cluster Aus Clustergröße folgt max. Größe des Dateisystems FAT folgt nicht dem abstrakten Dateisystemschema: Dateiname und Metadaten stehen gemeinsam in Verzeichniseinträgen Keine FS-Anwendungsdaten (insbesondere kein Journal) Harald Baier Computerforensik h_da WS 2011/2012 5 Datenverwaltung unter FAT (1/2) Verzeichniseintrag enthält unter Anderem: Dateiname Adresse des ersten Clusters des Dateiinhalts: n 1 Dateigröße Zeitstempel (MAC-Informationen) Weitere Datencluster ergeben sich aus FAT: Cluster Chain Eintrag n 1 in FAT: Verweis auf Clusteradresse n 2 des zweiten Datenclusters oder EOF Und so weiter bis EOF Anzahl der Cluster ergibt sich aus Datei- und Clustergröße Harald Baier Computerforensik h_da WS 2011/2012 6

Datenverwaltung unter FAT (2/2) Source: Carrier, Fig. 9.9 Harald Baier Computerforensik h_da WS 2011/2012 7 Aufteilungskonzept des Laufwerks unter FAT Drei Bereiche (von 'vorne' nach 'hinten' auf Laufwerk): Reserved area (Reservierter Bereich) FAT area (FAT-Bereich) Data area (Datenbereich) Wichtig: Nur im Datenbereich werden Cluster zur Adressierung verwendet Kleinste Cluster-Adresse ist 2!!! Lage von Cluster 2 im Datenbereich ist für FAT12/16 und FAT32 verschieden (siehe gleich) Harald Baier Computerforensik h_da WS 2011/2012 8

Reserved area = Reservierter Bereich Beginnt immer bei HDD-Block 0 des Laufwerks Dort steht Großteil der Dateisystemdaten Enthält Bootsektor sowie ggfls. weitere HDD-Blöcke: FAT12/16: Reserved area besteht typ. aus einem HDD-Block FAT32: Reserved area besteht aus mehreren HDD-Blöcken FSINFO in Block 1: Hinweise über freie Cluster Backup des Bootsektors (Default ist Block 6) Größe der reserved area steht im Bootsektor Vorsicht: Reserved area wird nicht über Cluster adressiert Harald Baier Computerforensik h_da WS 2011/2012 9 FAT area = FAT-Bereich Beginnt im HDD-Block direkt hinter reserved area Enthält eine oder mehrere FATs Typischerweise 2 FATs: Primary FAT (FAT0) Backup von FAT0 (FAT1): FAT0 und FAT1 inhaltsgleich Größe des FAT-Bereichs steht im Bootsektor: Anzahl der FATs Größe einer FAT Vorsicht: FAT area wird nicht über Cluster adressiert Harald Baier Computerforensik h_da WS 2011/2012 10

Data area = Datenbereich Beginnt im HDD-Block direkt hinter FAT area Enthält Verzeichnisse und Inhaltsdaten Wurzelverzeichnis: Bei FAT12/16 steht dieses direkt hinter FAT-Bereich Bei FAT32 kann es irgendwo im Datenbereich liegen (Cluster-Nummer steht im Bootsektor) Lage von Cluster 2: FAT12/16: Direkt hinter Wurzelverzeichnis FAT32: Direkt am Anfang des Datenbereichs Harald Baier Computerforensik h_da WS 2011/2012 11 Essentielle Daten des Bootsektors Byte-Nr. (dez.) Beschreibung 11 12 Größe eines HDD-Blocks in Bytes 13 13 Größe eines Clusters in HDD-Blöcken Erlaubt: 2 n, jedoch maximal 32 KByte 14 15 Größe der reserved area in HDD-Blöcken 16 16 Anzahl an FATs (typischerweise 2) 17 18 Maximale Einträge im Wurzelverzeichnis Für FAT32 = 0 (da in separater Datenstruktur) 19 20 Größe des Dateisystems in HDD-Blöcken Falls größer, benutze Bytes 32-35 22 23 Anzahl der HDD-Blöcke pro FATx (nur x=12,16) Harald Baier Computerforensik h_da WS 2011/2012 12

Nicht-Essentielle Daten des Bootsektors Byte-Nr. (dez.) Beschreibung 00 02 Jump-Anweisung zu Boot-Code Essentiell, falls bootfähig 03 10 OEM-Name oder Leerzeichen Gibt evtl. Hinweise auf verwendetes OS 21 21 Medientyp: Wechselmedium oder nicht 510 511 'Signatur': Hexdump 55aa (=0xaa55) Harald Baier Computerforensik h_da WS 2011/2012 13 Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 14

Fallbeispiel: Analyse des Bootsektors Hexdump einer Flash-Speicherkarte aus Digitalkamera Ziel: Laufwerksaufteilung bestimmen Harald Baier Computerforensik h_da WS 2011/2012 15 Interpretation von Bytemustern im Bootsektor (1/4) OEM-Name (03-10, nicht-essentiell): Hexdump: Entspricht String: Größe eines HDD-Blocks in Bytes (11-12, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Harald Baier Computerforensik h_da WS 2011/2012 16

Interpretation von Bytemustern im Bootsektor (2/4) Größe eines Clusters in HDD-Blöcken (13, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Größe reserved area in HDD-Blöcken (14-15, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Dort beginnt die FAT Harald Baier Computerforensik h_da WS 2011/2012 17 Interpretation von Bytemustern im Bootsektor (3/4) Anzahl der FATs (16, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Größe einer FAT in HDD-Blöcken (22-23, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Harald Baier Computerforensik h_da WS 2011/2012 18

Interpretation von Bytemustern im Bootsektor (4/4) Max. Dateianzahl im Wurzelverzeichnis (17-18, essentiell): Hexdump: Entspricht folgender Hex-Zahl: Entspricht folgender Dezimalzahl: Größe des Wurzelverzeichnisses: Jeder Dateieintrag im Wurzelverzeichnis besteht aus 32 Byte Größe in Bytes: Größe in HDD-Blöcken: Harald Baier Computerforensik h_da WS 2011/2012 19 Layout des FAT-Systems der Digitalkamera Bereich HDD-Blöcke Reserved Area FAT area FAT0 FAT1 Wurzelverzeichnis Cluster 2 Cluster 3 Harald Baier Computerforensik h_da WS 2011/2012 20

Umrechnung Laufwerkadresse Clusteradresse Bekannt: Logische Laufwerkadresse von Cluster 2: A L (Cluster 2 ) Anzahl der HDD-Blöcke pro Cluster: N Clusteradresse des betrachteten Cluster n : n Gesucht: Logische Laufwerkadresse von Cluster n A L (Cluster n ) = (n - 2) N + A L (Cluster 2 ) Auflösen nach n ergibt umgekehrte Berechnung: n = ( A L (Cluster n ) - A L (Cluster 2 ) ) / N + 2 Harald Baier Computerforensik h_da WS 2011/2012 21 Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 22

Metadaten: FAT-Einträge Zwei Ziele des FAT-Eintrags n: Gibt Belegtstatus des zugehörigen Clusters n an Falls Cluster n alloziert, gibt es folgende Alternativen: Weist auf den auf Cluster n folgenden Cluster Zeigt an, dass Cluster n der letzte Cluster der Cluster Chain ist Gibt an, dass Cluster n beschädigt ist (heute eigentlich überflüssig) FAT-Einträge starten direkt hinter reserviertem Bereich Nummerierung startet bei n = 0: Die ersten beiden FAT- Einträge werden für Datencluster nicht benötigt FAT-Eintrag 0: Media Type des Laufwerks FAT-Eintrag 1: Dirty status (z.b. gesetzt bei Systemabsturz) Harald Baier Computerforensik h_da WS 2011/2012 23 FAT12/16 FAT12: Jeder FAT-Eintrag hat Bitlänge 12 Cluster unbelegt: FAT-Eintrag ist 0x000 Cluster beschädigt: FAT-Eintrag ist 0xff7 EOF-Markierung: FAT-Eintrag ist 0xff8-0xfff Andernfalls Adresse des folgenden Clusters in Cluster Chain FAT16: Jeder FAT-Eintrag hat Bitlänge 16 Cluster unbelegt: FAT-Eintrag ist 0x0000 Cluster beschädigt: FAT-Eintrag ist 0xfff7 EOF-Markierung: FAT-Eintrag ist 0xfff8-0xffff Andernfalls Adresse des folgenden Clusters in Cluster Chain Harald Baier Computerforensik h_da WS 2011/2012 24

FAT32 und Dateilöschung Jeder FAT-Eintrag hat Bitlänge 32 Davon werden aber nur 28 Bit benutzt: Cluster unbelegt: FAT-Eintrag ist 0x00000000 Cluster beschädigt: FAT-Eintrag ist 0x0ffffff7 EOF-Markierung: FAT-Eintrag ist 0x0fffffff8-0x0fffffff Andernfalls Adresse des folgenden Clusters in Cluster Chain Dateilöschung: FAT-Einträge der Cluster werden auf 0 gesetzt Inhalte der Datencluster bleiben typischerweise erhalten Harald Baier Computerforensik h_da WS 2011/2012 25 Beispiel: FAT0 der Digitalkamera in HDD-Block 1 baier@watson $ dcat /dev/sdb1 1 xxd less 0000000: f8ff ffff ffff ffff ffff 0600 0700 0800... 0000010: 0900 0a00 0b00 0c00 0d00 0e00 0f00 1000... 0000020: 1100 1200 1300 1400 1500 1600 1700 1800... 0000030: 1900 1a00 1b00 1c00 1d00 1e00 1f00 2000.... 0000040: 2100 2200 2300 2400 2500 2600 2700 2800!.".#.$.%.&.'.(. 0000050: 2900 2a00 2b00 2c00 2d00 2e00 2f00 3000 ).*.+.,.-.../.0. 0000060: 3100 3200 3300 3400 3500 3600 3700 3800 1.2.3.4.5.6.7.8. 0000070: 3900 3a00 3b00 3c00 3d00 3e00 3f00 4000 9.:.;.<.=.>.?.@. 0000080: 4100 4200 4300 4400 4500 4600 4700 4800 A.B.C.D.E.F.G.H. [REMOVED] 00001b0: d900 da00 db00 dc00 dd00 de00 df00 e000... 00001c0: e100 e200 ffff e400 e500 e600 e700 e800... Harald Baier Computerforensik h_da WS 2011/2012 26

Analyse der nicht-allozierten Inhaltsdaten Gehe FAT durch: Suche alle FAT-Einträge mit Wert 0 Suche alle FAT-Einträge zu beschädigten Clustern Wird heute typischerweise von Festplatten direkt gemanagt Manche Tools lassen diese Cluster aus Lese alle zugehörigen Datencluster aus File System Slack und FAT-Slack nicht vergessen: Oft bleiben am 'Ende' des Laufwerks HDD-Blöcke übrig Vorsicht: Größe des Dateisystems in Bootsektor kann einfach mit Hex-Editor manipuliert werden FAT-Slack: Bereich zwischen letztem FAT-Eintrag und nächstem Bereich (nächster FAT oder Datenbereich) Harald Baier Computerforensik h_da WS 2011/2012 27 Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 28

Verzeichnisse: Grundlagen (1/3) Verzeichniseinträge enthalten Dateinamen und Metadaten Jeder Verzeichniseintrag hat die Länge 32 Byte Inhalt eines Verzeichniseintrags: Dateiname Clusteradresse des ersten Datenclusters MAC-Zeitstempel: Unterschiedliche Genauigkeit Dateigröße In 4 Byte kodiert entspricht max. Dateigröße 4 GByte Attribute: Essentiell: Verzeichnis (Ja/Nein), Langer Dateiname (J/N) Nicht-essentiell: Zugriffsrechte, Systemdatei, Archiv (für Backup) Harald Baier Computerforensik h_da WS 2011/2012 29 Verzeichnisse: Grundlagen (2/3) Beim Anlegen eines neuen Verzeichnisses wird ein Cluster alloziert und zunächst mit Nullbytes überschrieben Dateigröße des neuen Verzeichnis im Elternverzeichnis = 0 Also kann Größe eines Verzeichnisses nur durch Abschreiten der Cluster Chain bestimmt werden Ausnahme: Rootverzeichnis, dessen Größe im Bootsektor steht Erste beiden Verzeichniseinträge sind. und.. Ausnahme: Rootverzeichnis Zeitstempel für. und.. werden nie verändert Inkonsistenz mit Zeitstempeln im Elternverzeichnis Harald Baier Computerforensik h_da WS 2011/2012 30

Verzeichnisse: Grundlagen (3/3) Löschen einer Datei: Erstes Zeichen des Dateinamens im Verzeichniseintrag wird auf den Wert 0xe5 gesetzt Der Rest des Verzeichniseintrags bleibt erhalten Insbesondere also der Verweis auf den ersten Datencluster Aber: In FAT werden alle Datencluster auf unbelegt gesetzt Cluster Chain geht dadurch bis auf ersten Cluster verloren Namenskonflikt: vase.jpg und nase.jpg nach Löschung Namenskonflikt Jeweils _ase.jpg Harald Baier Computerforensik h_da WS 2011/2012 31 Verzeichnisstruktur Byte-Nr. (dez.) Beschreibung 00 00 Erstes ASCII-Zeichen des Dateinamens oder 0x00 für nicht-alloziert oder 0xe5 für gelöscht 01 10 Restliche Zeichen des Dateinamens (8+3) 11 11 Attribute (Read only, Langer Name, Dir, ) 12 12 Reserviert 13 19 Zeitstempel für created und accessed 20 21 Nur FAT32: Höherwertige Bytes 1. Clusteradresse 22 25 Zeitstempel für last written 26 27 Niederwertige Bytes 1. Clusteradresse 28 31 Dateigröße in Bytes (= 0 für Verzeichnisse) Harald Baier Computerforensik h_da WS 2011/2012 32

Bytestruktur des Attribut-Bytes (Byte 11) Byte Bitmuster Beschreibung 01 0000 0001 Read-only 02 0000 0010 Hidden file 04 0000 0100 System file 08 0000 1000 Volume label 0f 0000 1111 Long file name 10 0001 0000 Directory 20 0010 0000 Archive Harald Baier Computerforensik h_da WS 2011/2012 33 Zugriffszeiten Byte-Nr. Beschreibung (dez.) 13 13 Created time (Tausendstel Sekunden) 14 15 Created time: HH:MM:SS (in 2-Sekunden-Intervallen) 16 17 Created day: YY:MM:DD (Jahr seit 1980) 18 19 Accessed day 22 23 Written time: HH:MM:SS 24 25 Written day: YY:MM:DD Harald Baier Computerforensik h_da WS 2011/2012 34

Codierung des Datums Source: Carrier, Fig. 10.2 Harald Baier Computerforensik h_da WS 2011/2012 35 Codierung der Uhrzeit Source: Carrier, Fig. 10.3 Harald Baier Computerforensik h_da WS 2011/2012 36

Suche nach gelöschten Verzeichnissen Annahme: Daten-Cluster wurde seit Löschung nicht wieder alloziert Suchen nach bestimmter Signatur: Bytes 0-10 stehen für '.' 2e20 2020 2020 2020 2020 20 Bytes 32-42 stehen für '..' 2e2e 2020 2020 2020 2020 20 Kann mit Tool sigfind aus TSK durchgeführt werden Angabe von Maximal 4 Suchbytes sigfind 2e202020 image sucht nach Signatur 2E202020 Suchergebnis: Zwei Strings im Abstand 33 Bytes Slack Space nicht vergessen! Harald Baier Computerforensik h_da WS 2011/2012 37 Adressierung von Metadaten im TSK Anlehnung an UNIX-Konvention für Inodes: Metadaten stehen in Verzeichnissen Wurzelverzeichnis hat 'Inode' 2 Unterteilung des Datenbereichs in 32-Byte-Segmente: Erste 32 Byte in Datenbereich haben 'Inode 3' Zweite 32 Byte in Datenbereich haben 'Inode 4' Ein bisschen Umrechnung ist nötig Nur sinnvolle Metadaten, falls in Cluster ein Verzeichnis steht Zugriff auf Root-Verzeichnis: istat device 2 Harald Baier Computerforensik h_da WS 2011/2012 38

Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 39 Beispiel: Wurzelverzeichnis / der Digitalkamera baier@watson $ dcat /dev/sdb1 xxd less 0000000: 4443 494d 2020 2020 2020 2010 0000 4869 DCIM...Hi 0000010: 3d3a 4a3a 0000 dd8a 4a3a 0200 0000 0000 =:J:...J:... 0000020: 0000 0000 0000 0000 0000 0000 0000 0000... Erster Verzeichniseintrag: Dateiname: Adresse des ersten Datenclusters: Weitere Datencluster: Attribute: Dateigröße: Zugriff auf Metadaten mit TSK: Harald Baier Computerforensik h_da WS 2011/2012 40

Beispiel: Verzeichnis /DCIM der Digitalkamera (1/2) baier@watson $ dcat /dev/sdb1 xxd less 0000000: 2e20 2020 2020 2020 2020 2010 0000 4969....Ii 0000010: 3d3a 3d3a 0000 4969 3d3a 0200 0000 0000 =:=:..Ii=:... 0000020: 2e2e 2020 2020 2020 2020 2010 0000 4969.....Ii 0000030: 3d3a 3d3a 0000 4969 3d3a 0000 0000 0000 =:=:..Ii=:... 0000040: 3130 3044 5343 494d 2020 2010 0000 4969 100DSCIM...Ii 0000050: 3d3a 4a3a 0000 e68a 4a3a 0300 0000 0000 =:J:...J:... 0000060: 3130 3144 5343 494d 2020 2010 0064 5c51 101DSCIM..d\Q 0000070: 413b 7d3b 0000 a699 7d3b 0400 0000 0000 A;};...};... 0000080: 0000 0000 0000 0000 0000 0000 0000 0000... 0000090: 0000 0000 0000 0000 0000 0000 0000 0000... 00000a0: 0000 0000 0000 0000 0000 0000 0000 0000... 00000b0: 0000 0000 0000 0000 0000 0000 0000 0000... Harald Baier Computerforensik h_da WS 2011/2012 41 Beispiel: Verzeichnis /DCIM der Digitalkamera (2/2) 0000060: 3130 3144 5343 494d 2020 2010 0064 5c51 101DSCIM..d\Q 0000070: 413b 7d3b 0000 a699 7d3b 0400 0000 0000 A;};...};... Vierter Verzeichniseintrag: Dateiname: Adresse des ersten Datenclusters: Weitere Datencluster: Attribute: Dateigröße: Zugriff auf Metadaten mit TSK: Harald Baier Computerforensik h_da WS 2011/2012 42

Beispiel: Verzeichnis /DCIM/101DSCIM (1/2) baier@watson $ dcat /dev/sdb1 32 xxd less [REMOVED Entries for. and..] 0000040: 4249 4c44 3039 3433 4a50 4700 0000 f55e BILD0943JPG...^ 0000050: 853b 893b 0000 f65e 853b 0500 a545 3700.;.;...^.;...E7. 0000060: 4249 4c44 3039 3434 4a50 4700 0000 065f BILD0944JPG..._ 0000070: 853b 893b 0000 065f 853b e300 8f5b 2600.;.;..._.;...[&. 0000080: 4249 4c44 3039 3435 4a50 4700 0000 115f BILD0945JPG..._ 0000090: 853b 893b 0000 115f 853b 7d01 c483 3500.;.;..._.;}...5. 00000a0: 4249 4c44 3039 3436 4a50 4700 0000 1c5f BILD0946JPG..._ 00000b0: 853b 893b 0000 1c5f 853b 5402 7d92 3100.;.;..._.;T.}.1. 00000c0: 4249 4c44 3039 3437 4a50 4700 0000 6e78 BILD0947JPG...nx 00000d0: 853b 893b 0000 6e78 853b 1b03 2cad 3900.;.;..nx.;..,.9. 00000e0: 4249 4c44 3039 3438 4a50 4700 0000 7d78 BILD0948JPG...}x 00000f0: 853b 893b 0000 7d78 853b 0204 27b5 3500.;.;..}x.;..'.5. 0000100: e549 4c44 3039 3339 4a50 4700 0000 e08b.ild0939jpg... 0000110: 7d3b 7d3b 0000 e08b 7d3b ce04 b676 3100 };};...};...v1. Harald Baier Computerforensik h_da WS 2011/2012 43 Beispiel: Verzeichnis /DCIM/101DSCIM (2/2) baier@watson $ dcat /dev/sdb1 32 xxd less [REMOVED] 0001340: e549 4c44 3037 3539 4a50 4700 0000 448f.ILD0759JPG...D. 0001350: 343b 373b 0000 448f 343b efdd 1778 2900 4;7;..D.4;...x). 0001360: e549 4c44 3037 3630 4a50 4700 0000 478f.ILD0760JPG...G. 0001370: 343b 373b 0000 478f 343b 95de 7e44 3d00 4;7;..G.4;..~D=. 0001380: e549 4c44 3037 3631 4a50 4700 0000 4f8f.ILD0761JPG...O. 0001390: 343b 373b 0000 4f8f 343b 8bdf 082b 3500 4;7;..O.4;...+5. 00013a0: e549 4c44 3037 3632 4a50 4700 0000 2e7b.ILD0762JPG...{ 00013b0: 363b 373b 0000 2e7b 363b 60e0 c919 3700 6;7;...{6;`...7. 00013c0: e549 4c44 3037 3633 4a50 4700 0000 457b.ILD0763JPG...E{ 00013d0: 363b 373b 0000 457b 363b 3de1 853a 4300 6;7;..E{6;=..:C. 00013e0: 0000 0000 0000 0000 0000 0000 0000 0000... 00013f0: 0000 0000 0000 0000 0000 0000 0000 0000... 0001400: 0000 0000 0000 0000 0000 0000 0000 0000... 0001410: 0000 0000 0000 0000 0000 0000 0000 0000... Harald Baier Computerforensik h_da WS 2011/2012 44

Versuch einer Dateirekonstruktion 00013c0: e549 4c44 3037 3633 4a50 4700 0000 457b.ILD0763JPG...E{ 00013d0: 363b 373b 0000 457b 363b 3de1 853a 4300 6;7;..E{6;=..:C. Warum ist eine erfolgreiche Wiederherstellung wahrscheinlich? Vorgehen zur Rekonstruktion von BILD0763.JPG: Adresse des ersten Datenclusters: HDD-Block des ersten Datenclusters: Dateigröße: Anzahl HDD-Blöcke der Datei: Befehl zum Auslesen: Harald Baier Computerforensik h_da WS 2011/2012 45 Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen Harald Baier Computerforensik h_da WS 2011/2012 46

Defragmentierung vs. Dateiwiederherstellung Annahme: Defragmentierung nicht lange her Hohe Wahrscheinlichkeit für Dateiwiederherstellung: Dateien, die nach Defragmentierung gelöscht wurden Denn diese liegen typischerweise nicht fragmentiert vor Geringe Wahrscheinlichkeit für Dateiwiederherstellung: Dateien, die vor Defragmentierung gelöscht wurden Deren Speicherbereich wird typischerweise überschrieben Oder man findet nur ersten Datencluster Harald Baier Computerforensik h_da WS 2011/2012 47 Timelining der Digitalkamera baier@watson $ ils -am /dev/sdb1 > output1.ils baier@watson $ mactime -b output1.ils 01/01/2009 less [REMOVED] Sun Nov 29 2009 17:47:48 3712473 m.c -rwxrwxrwx 0 0 1549 <image-digitalkamera.dd-_ild0941.jpg-dead-1549> Sun Nov 29 2009 17:48:02 4154168..c -rwxrwxrwx 0 0 1550 <image-digitalkamera.dd-_ild0942.jpg-dead-1550> Sun Nov 29 2009 17:48:04 4154168 m.. -rwxrwxrwx 0 0 1550 <image-digitalkamera.dd-_ild0942.jpg-dead-1550> Sun Nov 29 2009 19:13:12 16384 m.. drwxrwxrwx 0 0 518 <image-digitalkamera.dd-101dscim-alive-518> Sat Dec 05 2009 11:55:42 3622309..c -rwxrwxrwx 0 0 1541 <image-digitalkamera.dd-bild0943.jpg-alive-1541> Sat Dec 05 2009 11:55:44 3622309 m.. -rwxrwxrwx 0 0 1541 <image-digitalkamera.dd-bild0943.jpg-alive-1541> Sat Dec 05 2009 11:56:12 2513807 m.c -rwxrwxrwx 0 0 1542 <image-digitalkamera.dd-bild0944.jpg-alive-1542> Harald Baier Computerforensik h_da WS 2011/2012 48