From 438b0839e4d900d082e277ca2925ba92f3438db1 Mon Sep 17 00:00:00 2001 From: Victoria Sluschny <1924323@stud.hs-mannheim.de> Date: Thu, 1 Jun 2023 18:16:39 +0200 Subject: [PATCH] =?UTF-8?q?=E2=80=9Euebung5/logbuch=5Fa1.md=E2=80=9C=20hin?= =?UTF-8?q?zuf=C3=BCgen?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- uebung5/logbuch_a1.md | 536 ++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 536 insertions(+) create mode 100644 uebung5/logbuch_a1.md diff --git a/uebung5/logbuch_a1.md b/uebung5/logbuch_a1.md new file mode 100644 index 0000000..9053765 --- /dev/null +++ b/uebung5/logbuch_a1.md @@ -0,0 +1,536 @@ +Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist. + + +[25.05.2023 10:34:46 UTC+2]: Über die Linux Shell wird mit `$ cd Desktop` zum Desktop navigiert und dort mit `$ mkdir uebung5` ein neues Directory für die Übung 5 angelegt. Anschließend wird in dieses Directory mit `$ cd uebung5` gewechselt. + +[25.05.2023 10:37:15 UTC+2]: Es wird mit `$ touch script.sh` eine leere Textdatei erzeugt und diese mit `$ nano script.sh` geöffnet. In dieser wird nun ein kurzes Shell-Skript geschrieben, mit dem ein Datenträger von 15MB erzeugt werden soll und anschließend mit dem Linux Filesystem formatiert werden soll. + +[25.05.2023 10:53:28 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script.sh` genutzt. Anschließend wird das Skript mit `$ ./script.sh` ausgeführt. Dabei wird folgende Ausgabe generiert: +``` +Erstelle Datentraeger... +15+0 records in +15+0 records out +15728640 bytes (16 MB, 15 MiB) copied, 0.0126921 s, 1.2 GB/s +Formatiere den Datentraeger... +mke2fs 1.46.6 (1-Feb-2023) +Discarding device blocks: done +Creating filesystem with 15360 1k blocks and 3840 inodes +Filesystem UUID: d986c975-168f-4573-bf70-580c2527e581 +Superblock backups stored on blocks: + 8193 + +Allocating group tables: done +Writing inode tables: done +Creating journal (1024 blocks): done +Writing superblocks and filesystem accounting information: done +``` + +[25.05.2023 10:58:16 UTC+2]: Es werden im Directory files, welches mit `$ mkdir files` erzeugt wurde, verschiedene Dateien gesammelt/erzeugt. +Screenshot.png (Screenshot des Desktops) +Hochschule.jpg (Bild des Hochhaus der Hochschule Mannheim) +document.txt (Textdatei mit 118 Zeilen) +video.mpeg (Bildschirmaufnahme) +audio.mp3 (Audio der Bildschirmaufnahme) +java_dummy.java (Hello World Programm) +html_dummy.html (einfache html Seite) + + +[25.05.2023 22:07:48 UTC+2]: Es wird mit `$ touch script2.sh` eine leere Textdatei erzeugt und diese mit `$ nano script2.sh` geöffnet. In dieser wird nun ein Shell-Skript geschrieben, um die Dateien in den Datenträger zu kopieren. + +[25.05.2023 12:04:43 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script2.sh` genutzt. Anschließend wird das Skript mit `$ ./script2.sh` ausgeführt. Dabei wird folgender Output generiert: + +``` +Datentraeger wird gemountet... +Dateien werden kopiert... +Mount des Datentraegers wird rückgaengig gemacht... +``` + +[26.05.2023 09:22:05 UTC+2]: Um scalpel nutzen zu können, muss zunächst die scalpel.conf Datei angepasst werden. In der Datei müssen die Dateitypen angegeben werden, die gecarved werden sollen. Dazu wird mit `$ cd /etc/scalpel` in das scalpel Directory gewechselt und danach die Datei scalpel.conf mit `$ sudo nano scalpel.conf` geöffnet. + +[26.05.2023 09:51:34 UTC+2]: Es wird mit `$ cd ~/Desktop/uebung5` zurück in das uebung5 Directory gewechselt. Anschließend wird der scalpel Befehl ausgeführt: + `$ scalpel -o ./Scalpel-output ./datentraeger` +Dabei wird folgender Output generiert: +``` +Scalpel version 1.60 +Written by Golden G. Richard III, based on Foremost 0.69. + +Opening target "/home/kali/Desktop/uebung5/datentraeger.dd" + +Image file pass 1/2. +datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAAllocating work queues...A +Work queues allocation complete. Building carve lists... +Carve lists built. Workload: +jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x45\x78\x69\x66" and footer "\xff\xd9" --> 1 files +jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x4a\x46\x49\x46" and footer "\xff\xd9" --> 0 files +png with header "\x50\x4e\x47\x3f" and footer "\xff\xfc\xfd\xfe" --> 1 files +mpg with header "\x00\x00\x01\xba" and footer "\x00\x00\x01\xb9" --> 0 files +mpg with header "\x00\x00\x01\xb3" and footer "\x00\x00\x01\xb7" --> 0 files +mpeg with header "\x00\x00\x01\xba" and footer "\xff\xff\xff\xff\xff\xff\xff\xff" --> 101 files +mp3 with header "\xff\xfb\x3f\x3f\x44\x00\x00" and footer "" --> 1 files +mp3 with header "\x57\x41\x56\x5c\x34\x35" and footer "\x00\x00\xff\x5c" --> 0 files +mp3 with header "\xff\xfb\xd0\x5c" and footer "\xd1\x35\x51\xcc\x5c" --> 0 files +mp3 with header "\x49\x44\x33\x5c" and footer "" --> 0 files +mp3 with header "\x4c\x41\x4d\x45\x5c" and footer "" --> 0 files +htm with header "\x3c\x68\x74\x6d\x6c" and footer "\x3c\x2f\x68\x74\x6d\x6c\x3e" --> 1 files +txt with header "\x2d\x2d\x2d\x2d\x2d\x42\x45\x47\x49\x4e\x20\x50\x47\x50" and footer "" --> 1 files +java with header "\x70\x75\x62\x6c\x69\x63" and footer "" --> 2 files +Carving files from image. +Image file pass 2/2. +datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAProcessing of image file complete. Cleaning up... +Done. +Scalpel is done, files carved = 108, elapsed = 0 seconds. +``` + +[26.05.2023 13:06:26 UTC+2]: Es wird ein neues Directory foremost-output mit `$ mkdir foremost-output` angelegt. Anschließend wird der foremost Befehl (folgend) ausgeführt. Dabei wird das Configuration File von scalpel benutzt: + `$ foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output` +Folgender Output wird generiert: + +``` +Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus +Audit File + +Foremost started at Fri May 26 07:06:26 2023 +Invocation: foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output +Output directory: /home/kali/Desktop/uebung5/foremost-output +Configuration file: /etc/scalpel/scalpel.conf +Processing: datentraeger.dd +|------------------------------------------------------------------ +File: datentraeger.dd +Start: Fri May 26 07:06:26 2023 +Length: 15 MB (15728640 bytes) + +Num Name (bs=512) Size File Offset Comment + +0: 00004248.png 1 MB 2174977 +1: 00024578.mpg 2 MB 12583936 +2: 00024830.mpg 2 MB 12712960 +3: 00024882.mpg 2 MB 12739584 +4: 00024886.mpg 2 MB 12741632 +5: 00024922.mpg 2 MB 12760064 +6: 00024926.mpg 2 MB 12762112 +7: 00024930.mpg 2 MB 12764160 +8: 00024934.mpg 2 MB 12766208 +9: 00024962.mpg 2 MB 12780544 +10: 00024966.mpg 2 MB 12782592 +11: 00024970.mpg 2 MB 12784640 +12: 00024974.mpg 2 MB 12786688 +13: 00025002.mpg 2 MB 12801024 +14: 00025006.mpg 2 MB 12803072 +15: 00025010.mpg 2 MB 12805120 +16: 00025014.mpg 2 MB 12807168 +17: 00025038.mpg 2 MB 12819456 +18: 00025042.mpg 2 MB 12821504 +19: 00025046.mpg 2 MB 12823552 +20: 00025050.mpg 2 MB 12825600 +21: 00025074.mpg 2 MB 12837888 +22: 00025078.mpg 2 MB 12839936 +23: 00025082.mpg 2 MB 12841984 +24: 00025086.mpg 2 MB 12844032 +25: 00025110.mpg 2 MB 12856320 +26: 00025114.mpg 2 MB 12858368 +27: 00025118.mpg 2 MB 12860416 +28: 00025122.mpg 2 MB 12862464 +29: 00025146.mpg 2 MB 12874752 +30: 00025150.mpg 2 MB 12876800 +31: 00025154.mpg 2 MB 12878848 +32: 00025158.mpg 2 MB 12880896 +33: 00025182.mpg 2 MB 12893184 +34: 00025186.mpg 2 MB 12895232 +35: 00025190.mpg 2 MB 12897280 +36: 00025218.mpg 2 MB 12911616 +37: 00025222.mpg 2 MB 12913664 +38: 00025226.mpg 2 MB 12915712 +39: 00025250.mpg 2 MB 12928000 +40: 00025254.mpg 2 MB 12930048 +41: 00025258.mpg 2 MB 12932096 +42: 00025286.mpg 2 MB 12946432 +43: 00025290.mpg 2 MB 12948480 +44: 00025294.mpg 2 MB 12950528 +45: 00025318.mpg 2 MB 12962816 +46: 00025322.mpg 2 MB 12964864 +47: 00025326.mpg 2 MB 12966912 +48: 00025350.mpg 2 MB 12979200 +49: 00025354.mpg 2 MB 12981248 +50: 00025358.mpg 2 MB 12983296 +51: 00025382.mpg 2 MB 12995584 +52: 00025386.mpg 2 MB 12997632 +53: 00025390.mpg 2 MB 12999680 +54: 00025414.mpg 2 MB 13011968 +55: 00025418.mpg 2 MB 13014016 +56: 00025422.mpg 2 MB 13016064 +57: 00025446.mpg 2 MB 13028352 +58: 00025450.mpg 2 MB 13030400 +59: 00025454.mpg 2 MB 13032448 +60: 00025478.mpg 2 MB 13044736 +61: 00025482.mpg 2 MB 13046784 +62: 00025486.mpg 2 MB 13048832 +63: 00025510.mpg 2 MB 13061120 +64: 00025514.mpg 2 MB 13063168 +65: 00025518.mpg 2 MB 13065216 +66: 00025542.mpg 2 MB 13077504 +67: 00025546.mpg 2 MB 13079552 +68: 00025550.mpg 2 MB 13081600 +69: 00025574.mpg 2 MB 13093888 +70: 00025578.mpg 2 MB 13095936 +71: 00025582.mpg 2 MB 13097984 +72: 00025606.mpg 2 MB 13110272 +73: 00025610.mpg 2 MB 13112320 +74: 00025634.mpg 2 MB 13124608 +75: 00025638.mpg 2 MB 13126656 +76: 00025642.mpg 2 MB 13128704 +77: 00025666.mpg 2 MB 13140992 +78: 00025670.mpg 2 MB 13143040 +79: 00025674.mpg 2 MB 13145088 +80: 00025698.mpg 2 MB 13157376 +81: 00025702.mpg 2 MB 13159424 +82: 00025706.mpg 2 MB 13161472 +83: 00025730.mpg 2 MB 13173760 +84: 00025734.mpg 2 MB 13175808 +85: 00025758.mpg 2 MB 13188096 +86: 00025762.mpg 2 MB 13190144 +87: 00025766.mpg 2 MB 13192192 +88: 00025770.mpg 2 MB 13194240 +89: 00025790.mpg 2 MB 13204480 +90: 00025794.mpg 2 MB 13206528 +91: 00025798.mpg 2 MB 13208576 +92: 00025822.mpg 2 MB 13220864 +93: 00025826.mpg 2 MB 13222912 +94: 00025830.mpg 2 MB 13224960 +95: 00025850.mpg 2 MB 13235200 +96: 00025854.mpg 2 MB 13237248 +97: 00025858.mpg 2 MB 13239296 +98: 00025882.mpg 2 MB 13251584 +99: 00025886.mpg 2 MB 13253632 +100: 00025910.mpg 2 MB 13265920 +101: 00025914.mpg 2 MB 13267968 +102: 00021595.mpg 4 MB 11056966 +103: 00024578_1.mpg 2 MB 12583979 +104: 00024836.mpg 2 MB 12716501 +105: 00024885.mpg 2 MB 12741343 +106: 00024932.mpg 2 MB 12765188 +107: 00024972.mpg 2 MB 12785792 +108: 00025010_1.mpg 2 MB 12805389 +109: 00025048.mpg 2 MB 12824642 +110: 00025083.mpg 2 MB 12842811 +111: 00025119.mpg 2 MB 12860990 +112: 00025154_1.mpg 2 MB 12879065 +113: 00025189.mpg 2 MB 12896853 +114: 00025224.mpg 2 MB 12914716 +115: 00025257.mpg 2 MB 12931902 +116: 00025290_1.mpg 2 MB 12948739 +117: 00025323.mpg 2 MB 12965501 +118: 00025355.mpg 2 MB 12981937 +119: 00025387.mpg 2 MB 12998437 +120: 00025419.mpg 2 MB 13015023 +121: 00025451.mpg 2 MB 13031140 +122: 00025483.mpg 2 MB 13047461 +123: 00025515.mpg 2 MB 13063842 +124: 00025547.mpg 2 MB 13080356 +125: 00025578_1.mpg 2 MB 13096398 +126: 00025609.mpg 2 MB 13111919 +127: 00025640.mpg 2 MB 13127739 +128: 00025671.mpg 2 MB 13143750 +129: 00025702_1.mpg 2 MB 13159887 +130: 00025733.mpg 2 MB 13175701 +131: 00025766_1.mpg 2 MB 13192265 +132: 00025796.mpg 2 MB 13207905 +133: 00025826_1.mpg 2 MB 13223225 +134: 00025856.mpg 2 MB 13238676 +135: 00025885.mpg 2 MB 13253231 +136: 00025912.mpg 2 MB 13267158 +137: 00024578.mpeg 679 KB 12583936 +138: 00024830.mpeg 553 KB 12712960 +139: 00024882.mpeg 527 KB 12739584 +140: 00024886.mpeg 525 KB 12741632 +141: 00024922.mpeg 507 KB 12760064 +142: 00024926.mpeg 505 KB 12762112 +143: 00024930.mpeg 503 KB 12764160 +144: 00024934.mpeg 501 KB 12766208 +145: 00024962.mpeg 487 KB 12780544 +146: 00024966.mpeg 485 KB 12782592 +147: 00024970.mpeg 483 KB 12784640 +148: 00024974.mpeg 481 KB 12786688 +149: 00025002.mpeg 467 KB 12801024 +150: 00025006.mpeg 465 KB 12803072 +151: 00025010.mpeg 463 KB 12805120 +152: 00025014.mpeg 461 KB 12807168 +153: 00025038.mpeg 449 KB 12819456 +154: 00025042.mpeg 447 KB 12821504 +155: 00025046.mpeg 445 KB 12823552 +156: 00025050.mpeg 443 KB 12825600 +157: 00025074.mpeg 431 KB 12837888 +158: 00025078.mpeg 429 KB 12839936 +159: 00025082.mpeg 427 KB 12841984 +160: 00025086.mpeg 425 KB 12844032 +161: 00025110.mpeg 413 KB 12856320 +162: 00025114.mpeg 411 KB 12858368 +163: 00025118.mpeg 409 KB 12860416 +164: 00025122.mpeg 407 KB 12862464 +165: 00025146.mpeg 395 KB 12874752 +166: 00025150.mpeg 393 KB 12876800 +167: 00025154.mpeg 391 KB 12878848 +168: 00025158.mpeg 389 KB 12880896 +169: 00025182.mpeg 377 KB 12893184 +170: 00025186.mpeg 375 KB 12895232 +171: 00025190.mpeg 373 KB 12897280 +172: 00025218.mpeg 359 KB 12911616 +173: 00025222.mpeg 357 KB 12913664 +174: 00025226.mpeg 355 KB 12915712 +175: 00025250.mpeg 343 KB 12928000 +176: 00025254.mpeg 341 KB 12930048 +177: 00025258.mpeg 339 KB 12932096 +178: 00025286.mpeg 325 KB 12946432 +179: 00025290.mpeg 323 KB 12948480 +180: 00025294.mpeg 321 KB 12950528 +181: 00025318.mpeg 309 KB 12962816 +182: 00025322.mpeg 307 KB 12964864 +183: 00025326.mpeg 305 KB 12966912 +184: 00025350.mpeg 293 KB 12979200 +185: 00025354.mpeg 291 KB 12981248 +186: 00025358.mpeg 289 KB 12983296 +187: 00025382.mpeg 277 KB 12995584 +188: 00025386.mpeg 275 KB 12997632 +189: 00025390.mpeg 273 KB 12999680 +190: 00025414.mpeg 261 KB 13011968 +191: 00025418.mpeg 259 KB 13014016 +192: 00025422.mpeg 257 KB 13016064 +193: 00025446.mpeg 245 KB 13028352 +194: 00025450.mpeg 243 KB 13030400 +195: 00025454.mpeg 241 KB 13032448 +196: 00025478.mpeg 229 KB 13044736 +197: 00025482.mpeg 227 KB 13046784 +198: 00025486.mpeg 225 KB 13048832 +199: 00025510.mpeg 213 KB 13061120 +200: 00025514.mpeg 211 KB 13063168 +201: 00025518.mpeg 209 KB 13065216 +202: 00025542.mpeg 197 KB 13077504 +203: 00025546.mpeg 195 KB 13079552 +204: 00025550.mpeg 193 KB 13081600 +205: 00025574.mpeg 181 KB 13093888 +206: 00025578.mpeg 179 KB 13095936 +207: 00025582.mpeg 177 KB 13097984 +208: 00025606.mpeg 165 KB 13110272 +209: 00025610.mpeg 163 KB 13112320 +210: 00025634.mpeg 151 KB 13124608 +211: 00025638.mpeg 149 KB 13126656 +212: 00025642.mpeg 147 KB 13128704 +213: 00025666.mpeg 135 KB 13140992 +214: 00025670.mpeg 133 KB 13143040 +215: 00025674.mpeg 131 KB 13145088 +216: 00025698.mpeg 119 KB 13157376 +217: 00025702.mpeg 117 KB 13159424 +218: 00025706.mpeg 115 KB 13161472 +219: 00025730.mpeg 103 KB 13173760 +220: 00025734.mpeg 101 KB 13175808 +221: 00025758.mpeg 89 KB 13188096 +222: 00025762.mpeg 87 KB 13190144 +223: 00025766.mpeg 85 KB 13192192 +224: 00025770.mpeg 83 KB 13194240 +225: 00025790.mpeg 73 KB 13204480 +226: 00025794.mpeg 71 KB 13206528 +227: 00025798.mpeg 69 KB 13208576 +228: 00025822.mpeg 57 KB 13220864 +229: 00025826.mpeg 55 KB 13222912 +230: 00025830.mpeg 53 KB 13224960 +231: 00025850.mpeg 43 KB 13235200 +232: 00025854.mpeg 41 KB 13237248 +233: 00025858.mpeg 39 KB 13239296 +234: 00025882.mpeg 27 KB 13251584 +235: 00025886.mpeg 25 KB 13253632 +236: 00025910.mpeg 13 KB 13265920 +237: 00025914.mpeg 11 KB 13267968 +238: 00020482.mp3 4 MB 10486784 +239: 00017416.htm 84 B 8917008 +240: 00017410.txt 97 KB 8913920 +241: 00017418.java 976 KB 8918016 +242: 00017418_1.java 976 KB 8918038 +*| +Finish: Fri May 26 07:06:28 2023 + +243 FILES EXTRACTED + +png:= 1 +mpg:= 101 +mpg:= 35 +mpeg:= 101 +mp3:= 1 +htm:= 1 +txt:= 1 +java:= 2 +------------------------------------------------------------------ + +Foremost finished at Fri May 26 07:06:28 2023 + +``` + +Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Scalpel findet die jpg Datei, Foremost jedoch nicht. Foremost findet noch weitere mpg/mpeg Dateien, die von Scalpel nicht gefunden werden. Beide Carving Tools finden statt einer Java Datei zwei Java Dateien und mehr mpeg/mpg Dateien als eigentlich vorhanden. Dies lässt sich jedoch durch eventuelle “False Positives” erklären. + + + +ZWEITER VERSUCH FOREMOST + +[26.05.2023 13:51:03 UTC+2]: Es wird eine Config-Datei für Foremost angelegt im uebung5 Directory. Anschließend wird der foremost Befehl ausgeführt: + `$ foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output` +Dabei wird folgender Output generiert: + +``` +Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus +Audit File + +Foremost started at Fri May 26 07:51:49 2023 +Invocation: foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output +Output directory: /home/kali/Desktop/uebung5/foremost-output +Configuration file: /home/kali/Desktop/uebung5/foremost.conf +Processing: ./foremost.conf +|------------------------------------------------------------------ +File: ./foremost.conf +Start: Fri May 26 07:51:49 2023 +Length: 485 B (485 bytes) + +Num Name (bs=512) Size File Offset Comment + +0: 00000000.html 41 B 157 +1: 00000000.java 12 B 227 +2: 00000000.mp3 41 B 297 +*| +Finish: Fri May 26 07:51:49 2023 +Processing: datentraeger.dd +|------------------------------------------------------------------ +File: datentraeger.dd +Start: Fri May 26 07:51:49 2023 +Length: 15 MB (15728640 bytes) + +Num Name (bs=512) Size File Offset Comment + +3: 00004248.png 459 B 2174976 +4: 00005745.jpg 24 B 2941542 +5: 00018434.jpg 237 B 9438208 +6: 00017416.html 97 KB 8917085 +7: 00017418.java 12 B 8918016 +8: 00017418_1.java 97 KB 8918038 +9: 00004625.mp3 263 B 2368471 +10: 00024578.mpeg 76 B 12583936 +11: 00024830.mpeg 762 B 12712960 +12: 00024882.mpeg 166 B 12739584 +13: 00024886.mpeg 291 B 12741632 +14: 00024922.mpeg 436 B 12760064 +15: 00024926.mpeg 473 B 12762112 +16: 00024930.mpeg 609 B 12764160 +17: 00024934.mpeg 306 B 12766208 +18: 00024962.mpeg 385 B 12780544 +19: 00024966.mpeg 322 B 12782592 +20: 00024970.mpeg 68 B 12784640 +21: 00024974.mpeg 677 B 12786688 +22: 00025002.mpeg 545 B 12801024 +23: 00025006.mpeg 109 B 12803072 +24: 00025010.mpeg 242 B 12805120 +25: 00025014.mpeg 66 B 12807168 +26: 00025038.mpeg 265 B 12819456 +27: 00025042.mpeg 356 B 12821504 +28: 00025046.mpeg 573 B 12823552 +29: 00025050.mpeg 8 B 12825600 +30: 00025074.mpeg 23 B 12837888 +31: 00025078.mpeg 332 B 12839936 +32: 00025082.mpeg 1 KB 12841984 +33: 00025086.mpeg 298 B 12844032 +34: 00025110.mpeg 306 B 12856320 +35: 00025114.mpeg 387 B 12858368 +36: 00025118.mpeg 275 B 12860416 +37: 00025122.mpeg 44 B 12862464 +38: 00025146.mpeg 1 KB 12874752 +39: 00025150.mpeg 1 KB 12876800 +40: 00025154.mpeg 651 B 12878848 +41: 00025158.mpeg 9 B 12880896 +42: 00025182.mpeg 194 B 12893184 +43: 00025186.mpeg 269 B 12895232 +44: 00025190.mpeg 173 B 12897280 +45: 00025218.mpeg 175 B 12911616 +46: 00025222.mpeg 104 B 12913664 +47: 00025226.mpeg 94 B 12915712 +48: 00025250.mpeg 400 B 12928000 +49: 00025254.mpeg 674 B 12930048 +50: 00025258.mpeg 243 B 12932096 +51: 00025286.mpeg 89 B 12946432 +52: 00025290.mpeg 606 B 12948480 +53: 00025294.mpeg 79 B 12950528 +54: 00025318.mpeg 154 B 12962816 +55: 00025322.mpeg 127 B 12964864 +56: 00025326.mpeg 182 B 12966912 +57: 00025350.mpeg 21 B 12979200 +58: 00025354.mpeg 21 B 12981248 +59: 00025358.mpeg 138 B 12983296 +60: 00025382.mpeg 172 B 12995584 +61: 00025386.mpeg 124 B 12997632 +62: 00025390.mpeg 7 B 12999680 +63: 00025414.mpeg 7 B 13011968 +64: 00025418.mpeg 7 B 13014016 +65: 00025422.mpeg 86 B 13016064 +66: 00025446.mpeg 774 B 13028352 +67: 00025450.mpeg 166 B 13030400 +68: 00025454.mpeg 291 B 13032448 +69: 00025478.mpeg 203 B 13044736 +70: 00025482.mpeg 394 B 13046784 +71: 00025486.mpeg 225 B 13048832 +72: 00025510.mpeg 249 B 13061120 +73: 00025514.mpeg 842 B 13063168 +74: 00025518.mpeg 134 B 13065216 +75: 00025542.mpeg 283 B 13077504 +76: 00025546.mpeg 181 B 13079552 +77: 00025550.mpeg 93 B 13081600 +78: 00025574.mpeg 671 B 13093888 +79: 00025578.mpeg 32 B 13095936 +80: 00025582.mpeg 52 B 13097984 +81: 00025606.mpeg 36 B 13110272 +82: 00025610.mpeg 376 B 13112320 +83: 00025634.mpeg 908 B 13124608 +84: 00025638.mpeg 152 B 13126656 +85: 00025642.mpeg 225 B 13128704 +86: 00025666.mpeg 285 B 13140992 +87: 00025670.mpeg 367 B 13143040 +88: 00025674.mpeg 155 B 13145088 +89: 00025698.mpeg 743 B 13157376 +90: 00025702.mpeg 193 B 13159424 +91: 00025706.mpeg 166 B 13161472 +92: 00025730.mpeg 149 B 13173760 +93: 00025734.mpeg 344 B 13175808 +94: 00025758.mpeg 65 B 13188096 +95: 00025762.mpeg 193 B 13190144 +96: 00025766.mpeg 215 B 13192192 +97: 00025770.mpeg 209 B 13194240 +98: 00025790.mpeg 493 B 13204480 +99: 00025794.mpeg 504 B 13206528 +100: 00025798.mpeg 67 B 13208576 +101: 00025822.mpeg 29 B 13220864 +102: 00025826.mpeg 116 B 13222912 +103: 00025830.mpeg 473 B 13224960 +104: 00025850.mpeg 312 B 13235200 +105: 00025854.mpeg 192 B 13237248 +106: 00025858.mpeg 112 B 13239296 +107: 00025882.mpeg 157 B 13251584 +108: 00025886.mpeg 483 B 13253632 +109: 00025910.mpeg 1 KB 13265920 +110: 00025914.mpeg 359 B 13267968 +111: 00002172.txt 12 KB 1112069 (IND BLK bs:=512) +112: 00002174.txt 11 KB 1113093 (IND BLK bs:=512) +113: 00002212.txt 1 KB 1132549 +114: 00018434.txt 58 B 9438387 +115: 00018434_1.txt 48 B 9438513 +116: 00018434_2.txt 19 B 9438542 +*| +Finish: Fri May 26 07:51:49 2023 + +117 FILES EXTRACTED + +png:= 1 +jpg:= 2 +html:= 2 +java:= 3 +mp3:= 2 +mpeg:= 101 +txt:= 6 +------------------------------------------------------------------ + +Foremost finished at Fri May 26 07:51:49 2023 +``` + +Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Foremost findet von allen Dateien außer png mehr als die eine Datei, während das bei scalpel nur bei java und mpg/mpeg der Fall ist. Diese Anhäufung von Dateien kann durch “false positives” entstehen.