Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist. [25.05.2023 10:34:46 UTC+2]: Über die Linux Shell wird mit `$ cd Desktop` zum Desktop navigiert und dort mit `$ mkdir uebung5` ein neues Directory für die Übung 5 angelegt. Anschließend wird in dieses Directory mit `$ cd uebung5` gewechselt. [25.05.2023 10:37:15 UTC+2]: Es wird mit `$ touch script.sh` eine leere Textdatei erzeugt und diese mit `$ nano script.sh` geöffnet. In dieser wird nun ein kurzes Shell-Skript geschrieben, mit dem ein Datenträger von 15MB erzeugt werden soll und anschließend mit dem Linux Filesystem formatiert werden soll. [25.05.2023 10:53:28 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script.sh` genutzt. Anschließend wird das Skript mit `$ ./script.sh` ausgeführt. Dabei wird folgende Ausgabe generiert: ``` Erstelle Datentraeger... 15+0 records in 15+0 records out 15728640 bytes (16 MB, 15 MiB) copied, 0.0126921 s, 1.2 GB/s Formatiere den Datentraeger... mke2fs 1.46.6 (1-Feb-2023) Discarding device blocks: done Creating filesystem with 15360 1k blocks and 3840 inodes Filesystem UUID: d986c975-168f-4573-bf70-580c2527e581 Superblock backups stored on blocks: 8193 Allocating group tables: done Writing inode tables: done Creating journal (1024 blocks): done Writing superblocks and filesystem accounting information: done ``` [25.05.2023 10:58:16 UTC+2]: Es werden im Directory files, welches mit `$ mkdir files` erzeugt wurde, verschiedene Dateien gesammelt/erzeugt. Screenshot.png (Screenshot des Desktops) Hochschule.jpg (Bild des Hochhaus der Hochschule Mannheim) document.txt (Textdatei mit 118 Zeilen) video.mpeg (Bildschirmaufnahme) audio.mp3 (Audio der Bildschirmaufnahme) java_dummy.java (Hello World Programm) html_dummy.html (einfache html Seite) [25.05.2023 22:07:48 UTC+2]: Es wird mit `$ touch script2.sh` eine leere Textdatei erzeugt und diese mit `$ nano script2.sh` geöffnet. In dieser wird nun ein Shell-Skript geschrieben, um die Dateien in den Datenträger zu kopieren. [25.05.2023 12:04:43 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script2.sh` genutzt. Anschließend wird das Skript mit `$ ./script2.sh` ausgeführt. Dabei wird folgender Output generiert: ``` Datentraeger wird gemountet... Dateien werden kopiert... Mount des Datentraegers wird rückgaengig gemacht... ``` [26.05.2023 09:22:05 UTC+2]: Um scalpel nutzen zu können, muss zunächst die scalpel.conf Datei angepasst werden. In der Datei müssen die Dateitypen angegeben werden, die gecarved werden sollen. Dazu wird mit `$ cd /etc/scalpel` in das scalpel Directory gewechselt und danach die Datei scalpel.conf mit `$ sudo nano scalpel.conf` geöffnet. [26.05.2023 09:51:34 UTC+2]: Es wird mit `$ cd ~/Desktop/uebung5` zurück in das uebung5 Directory gewechselt. Anschließend wird der scalpel Befehl ausgeführt: `$ scalpel -o ./Scalpel-output ./datentraeger` Dabei wird folgender Output generiert: ``` Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/home/kali/Desktop/uebung5/datentraeger.dd" Image file pass 1/2. datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAAllocating work queues...A Work queues allocation complete. Building carve lists... Carve lists built. Workload: jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x45\x78\x69\x66" and footer "\xff\xd9" --> 1 files jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x4a\x46\x49\x46" and footer "\xff\xd9" --> 0 files png with header "\x50\x4e\x47\x3f" and footer "\xff\xfc\xfd\xfe" --> 1 files mpg with header "\x00\x00\x01\xba" and footer "\x00\x00\x01\xb9" --> 0 files mpg with header "\x00\x00\x01\xb3" and footer "\x00\x00\x01\xb7" --> 0 files mpeg with header "\x00\x00\x01\xba" and footer "\xff\xff\xff\xff\xff\xff\xff\xff" --> 101 files mp3 with header "\xff\xfb\x3f\x3f\x44\x00\x00" and footer "" --> 1 files mp3 with header "\x57\x41\x56\x5c\x34\x35" and footer "\x00\x00\xff\x5c" --> 0 files mp3 with header "\xff\xfb\xd0\x5c" and footer "\xd1\x35\x51\xcc\x5c" --> 0 files mp3 with header "\x49\x44\x33\x5c" and footer "" --> 0 files mp3 with header "\x4c\x41\x4d\x45\x5c" and footer "" --> 0 files htm with header "\x3c\x68\x74\x6d\x6c" and footer "\x3c\x2f\x68\x74\x6d\x6c\x3e" --> 1 files txt with header "\x2d\x2d\x2d\x2d\x2d\x42\x45\x47\x49\x4e\x20\x50\x47\x50" and footer "" --> 1 files java with header "\x70\x75\x62\x6c\x69\x63" and footer "" --> 2 files Carving files from image. Image file pass 2/2. datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAProcessing of image file complete. Cleaning up... Done. Scalpel is done, files carved = 108, elapsed = 0 seconds. ``` [26.05.2023 13:06:26 UTC+2]: Es wird ein neues Directory foremost-output mit `$ mkdir foremost-output` angelegt. Anschließend wird der foremost Befehl (folgend) ausgeführt. Dabei wird das Configuration File von scalpel benutzt: `$ foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output` Folgender Output wird generiert: ``` Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus Audit File Foremost started at Fri May 26 07:06:26 2023 Invocation: foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output Output directory: /home/kali/Desktop/uebung5/foremost-output Configuration file: /etc/scalpel/scalpel.conf Processing: datentraeger.dd |------------------------------------------------------------------ File: datentraeger.dd Start: Fri May 26 07:06:26 2023 Length: 15 MB (15728640 bytes) Num Name (bs=512) Size File Offset Comment 0: 00004248.png 1 MB 2174977 1: 00024578.mpg 2 MB 12583936 2: 00024830.mpg 2 MB 12712960 3: 00024882.mpg 2 MB 12739584 4: 00024886.mpg 2 MB 12741632 5: 00024922.mpg 2 MB 12760064 6: 00024926.mpg 2 MB 12762112 7: 00024930.mpg 2 MB 12764160 8: 00024934.mpg 2 MB 12766208 9: 00024962.mpg 2 MB 12780544 10: 00024966.mpg 2 MB 12782592 11: 00024970.mpg 2 MB 12784640 12: 00024974.mpg 2 MB 12786688 13: 00025002.mpg 2 MB 12801024 14: 00025006.mpg 2 MB 12803072 15: 00025010.mpg 2 MB 12805120 16: 00025014.mpg 2 MB 12807168 17: 00025038.mpg 2 MB 12819456 18: 00025042.mpg 2 MB 12821504 19: 00025046.mpg 2 MB 12823552 20: 00025050.mpg 2 MB 12825600 21: 00025074.mpg 2 MB 12837888 22: 00025078.mpg 2 MB 12839936 23: 00025082.mpg 2 MB 12841984 24: 00025086.mpg 2 MB 12844032 25: 00025110.mpg 2 MB 12856320 26: 00025114.mpg 2 MB 12858368 27: 00025118.mpg 2 MB 12860416 28: 00025122.mpg 2 MB 12862464 29: 00025146.mpg 2 MB 12874752 30: 00025150.mpg 2 MB 12876800 31: 00025154.mpg 2 MB 12878848 32: 00025158.mpg 2 MB 12880896 33: 00025182.mpg 2 MB 12893184 34: 00025186.mpg 2 MB 12895232 35: 00025190.mpg 2 MB 12897280 36: 00025218.mpg 2 MB 12911616 37: 00025222.mpg 2 MB 12913664 38: 00025226.mpg 2 MB 12915712 39: 00025250.mpg 2 MB 12928000 40: 00025254.mpg 2 MB 12930048 41: 00025258.mpg 2 MB 12932096 42: 00025286.mpg 2 MB 12946432 43: 00025290.mpg 2 MB 12948480 44: 00025294.mpg 2 MB 12950528 45: 00025318.mpg 2 MB 12962816 46: 00025322.mpg 2 MB 12964864 47: 00025326.mpg 2 MB 12966912 48: 00025350.mpg 2 MB 12979200 49: 00025354.mpg 2 MB 12981248 50: 00025358.mpg 2 MB 12983296 51: 00025382.mpg 2 MB 12995584 52: 00025386.mpg 2 MB 12997632 53: 00025390.mpg 2 MB 12999680 54: 00025414.mpg 2 MB 13011968 55: 00025418.mpg 2 MB 13014016 56: 00025422.mpg 2 MB 13016064 57: 00025446.mpg 2 MB 13028352 58: 00025450.mpg 2 MB 13030400 59: 00025454.mpg 2 MB 13032448 60: 00025478.mpg 2 MB 13044736 61: 00025482.mpg 2 MB 13046784 62: 00025486.mpg 2 MB 13048832 63: 00025510.mpg 2 MB 13061120 64: 00025514.mpg 2 MB 13063168 65: 00025518.mpg 2 MB 13065216 66: 00025542.mpg 2 MB 13077504 67: 00025546.mpg 2 MB 13079552 68: 00025550.mpg 2 MB 13081600 69: 00025574.mpg 2 MB 13093888 70: 00025578.mpg 2 MB 13095936 71: 00025582.mpg 2 MB 13097984 72: 00025606.mpg 2 MB 13110272 73: 00025610.mpg 2 MB 13112320 74: 00025634.mpg 2 MB 13124608 75: 00025638.mpg 2 MB 13126656 76: 00025642.mpg 2 MB 13128704 77: 00025666.mpg 2 MB 13140992 78: 00025670.mpg 2 MB 13143040 79: 00025674.mpg 2 MB 13145088 80: 00025698.mpg 2 MB 13157376 81: 00025702.mpg 2 MB 13159424 82: 00025706.mpg 2 MB 13161472 83: 00025730.mpg 2 MB 13173760 84: 00025734.mpg 2 MB 13175808 85: 00025758.mpg 2 MB 13188096 86: 00025762.mpg 2 MB 13190144 87: 00025766.mpg 2 MB 13192192 88: 00025770.mpg 2 MB 13194240 89: 00025790.mpg 2 MB 13204480 90: 00025794.mpg 2 MB 13206528 91: 00025798.mpg 2 MB 13208576 92: 00025822.mpg 2 MB 13220864 93: 00025826.mpg 2 MB 13222912 94: 00025830.mpg 2 MB 13224960 95: 00025850.mpg 2 MB 13235200 96: 00025854.mpg 2 MB 13237248 97: 00025858.mpg 2 MB 13239296 98: 00025882.mpg 2 MB 13251584 99: 00025886.mpg 2 MB 13253632 100: 00025910.mpg 2 MB 13265920 101: 00025914.mpg 2 MB 13267968 102: 00021595.mpg 4 MB 11056966 103: 00024578_1.mpg 2 MB 12583979 104: 00024836.mpg 2 MB 12716501 105: 00024885.mpg 2 MB 12741343 106: 00024932.mpg 2 MB 12765188 107: 00024972.mpg 2 MB 12785792 108: 00025010_1.mpg 2 MB 12805389 109: 00025048.mpg 2 MB 12824642 110: 00025083.mpg 2 MB 12842811 111: 00025119.mpg 2 MB 12860990 112: 00025154_1.mpg 2 MB 12879065 113: 00025189.mpg 2 MB 12896853 114: 00025224.mpg 2 MB 12914716 115: 00025257.mpg 2 MB 12931902 116: 00025290_1.mpg 2 MB 12948739 117: 00025323.mpg 2 MB 12965501 118: 00025355.mpg 2 MB 12981937 119: 00025387.mpg 2 MB 12998437 120: 00025419.mpg 2 MB 13015023 121: 00025451.mpg 2 MB 13031140 122: 00025483.mpg 2 MB 13047461 123: 00025515.mpg 2 MB 13063842 124: 00025547.mpg 2 MB 13080356 125: 00025578_1.mpg 2 MB 13096398 126: 00025609.mpg 2 MB 13111919 127: 00025640.mpg 2 MB 13127739 128: 00025671.mpg 2 MB 13143750 129: 00025702_1.mpg 2 MB 13159887 130: 00025733.mpg 2 MB 13175701 131: 00025766_1.mpg 2 MB 13192265 132: 00025796.mpg 2 MB 13207905 133: 00025826_1.mpg 2 MB 13223225 134: 00025856.mpg 2 MB 13238676 135: 00025885.mpg 2 MB 13253231 136: 00025912.mpg 2 MB 13267158 137: 00024578.mpeg 679 KB 12583936 138: 00024830.mpeg 553 KB 12712960 139: 00024882.mpeg 527 KB 12739584 140: 00024886.mpeg 525 KB 12741632 141: 00024922.mpeg 507 KB 12760064 142: 00024926.mpeg 505 KB 12762112 143: 00024930.mpeg 503 KB 12764160 144: 00024934.mpeg 501 KB 12766208 145: 00024962.mpeg 487 KB 12780544 146: 00024966.mpeg 485 KB 12782592 147: 00024970.mpeg 483 KB 12784640 148: 00024974.mpeg 481 KB 12786688 149: 00025002.mpeg 467 KB 12801024 150: 00025006.mpeg 465 KB 12803072 151: 00025010.mpeg 463 KB 12805120 152: 00025014.mpeg 461 KB 12807168 153: 00025038.mpeg 449 KB 12819456 154: 00025042.mpeg 447 KB 12821504 155: 00025046.mpeg 445 KB 12823552 156: 00025050.mpeg 443 KB 12825600 157: 00025074.mpeg 431 KB 12837888 158: 00025078.mpeg 429 KB 12839936 159: 00025082.mpeg 427 KB 12841984 160: 00025086.mpeg 425 KB 12844032 161: 00025110.mpeg 413 KB 12856320 162: 00025114.mpeg 411 KB 12858368 163: 00025118.mpeg 409 KB 12860416 164: 00025122.mpeg 407 KB 12862464 165: 00025146.mpeg 395 KB 12874752 166: 00025150.mpeg 393 KB 12876800 167: 00025154.mpeg 391 KB 12878848 168: 00025158.mpeg 389 KB 12880896 169: 00025182.mpeg 377 KB 12893184 170: 00025186.mpeg 375 KB 12895232 171: 00025190.mpeg 373 KB 12897280 172: 00025218.mpeg 359 KB 12911616 173: 00025222.mpeg 357 KB 12913664 174: 00025226.mpeg 355 KB 12915712 175: 00025250.mpeg 343 KB 12928000 176: 00025254.mpeg 341 KB 12930048 177: 00025258.mpeg 339 KB 12932096 178: 00025286.mpeg 325 KB 12946432 179: 00025290.mpeg 323 KB 12948480 180: 00025294.mpeg 321 KB 12950528 181: 00025318.mpeg 309 KB 12962816 182: 00025322.mpeg 307 KB 12964864 183: 00025326.mpeg 305 KB 12966912 184: 00025350.mpeg 293 KB 12979200 185: 00025354.mpeg 291 KB 12981248 186: 00025358.mpeg 289 KB 12983296 187: 00025382.mpeg 277 KB 12995584 188: 00025386.mpeg 275 KB 12997632 189: 00025390.mpeg 273 KB 12999680 190: 00025414.mpeg 261 KB 13011968 191: 00025418.mpeg 259 KB 13014016 192: 00025422.mpeg 257 KB 13016064 193: 00025446.mpeg 245 KB 13028352 194: 00025450.mpeg 243 KB 13030400 195: 00025454.mpeg 241 KB 13032448 196: 00025478.mpeg 229 KB 13044736 197: 00025482.mpeg 227 KB 13046784 198: 00025486.mpeg 225 KB 13048832 199: 00025510.mpeg 213 KB 13061120 200: 00025514.mpeg 211 KB 13063168 201: 00025518.mpeg 209 KB 13065216 202: 00025542.mpeg 197 KB 13077504 203: 00025546.mpeg 195 KB 13079552 204: 00025550.mpeg 193 KB 13081600 205: 00025574.mpeg 181 KB 13093888 206: 00025578.mpeg 179 KB 13095936 207: 00025582.mpeg 177 KB 13097984 208: 00025606.mpeg 165 KB 13110272 209: 00025610.mpeg 163 KB 13112320 210: 00025634.mpeg 151 KB 13124608 211: 00025638.mpeg 149 KB 13126656 212: 00025642.mpeg 147 KB 13128704 213: 00025666.mpeg 135 KB 13140992 214: 00025670.mpeg 133 KB 13143040 215: 00025674.mpeg 131 KB 13145088 216: 00025698.mpeg 119 KB 13157376 217: 00025702.mpeg 117 KB 13159424 218: 00025706.mpeg 115 KB 13161472 219: 00025730.mpeg 103 KB 13173760 220: 00025734.mpeg 101 KB 13175808 221: 00025758.mpeg 89 KB 13188096 222: 00025762.mpeg 87 KB 13190144 223: 00025766.mpeg 85 KB 13192192 224: 00025770.mpeg 83 KB 13194240 225: 00025790.mpeg 73 KB 13204480 226: 00025794.mpeg 71 KB 13206528 227: 00025798.mpeg 69 KB 13208576 228: 00025822.mpeg 57 KB 13220864 229: 00025826.mpeg 55 KB 13222912 230: 00025830.mpeg 53 KB 13224960 231: 00025850.mpeg 43 KB 13235200 232: 00025854.mpeg 41 KB 13237248 233: 00025858.mpeg 39 KB 13239296 234: 00025882.mpeg 27 KB 13251584 235: 00025886.mpeg 25 KB 13253632 236: 00025910.mpeg 13 KB 13265920 237: 00025914.mpeg 11 KB 13267968 238: 00020482.mp3 4 MB 10486784 239: 00017416.htm 84 B 8917008 240: 00017410.txt 97 KB 8913920 241: 00017418.java 976 KB 8918016 242: 00017418_1.java 976 KB 8918038 *| Finish: Fri May 26 07:06:28 2023 243 FILES EXTRACTED png:= 1 mpg:= 101 mpg:= 35 mpeg:= 101 mp3:= 1 htm:= 1 txt:= 1 java:= 2 ------------------------------------------------------------------ Foremost finished at Fri May 26 07:06:28 2023 ``` Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Scalpel findet die jpg Datei, Foremost jedoch nicht. Foremost findet noch weitere mpg/mpeg Dateien, die von Scalpel nicht gefunden werden. Beide Carving Tools finden statt einer Java Datei zwei Java Dateien und mehr mpeg/mpg Dateien als eigentlich vorhanden. Dies lässt sich jedoch durch eventuelle “False Positives” erklären. ZWEITER VERSUCH FOREMOST [26.05.2023 13:51:03 UTC+2]: Es wird eine Config-Datei für Foremost angelegt im uebung5 Directory. Anschließend wird der foremost Befehl ausgeführt: `$ foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output` Dabei wird folgender Output generiert: ``` Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus Audit File Foremost started at Fri May 26 07:51:49 2023 Invocation: foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output Output directory: /home/kali/Desktop/uebung5/foremost-output Configuration file: /home/kali/Desktop/uebung5/foremost.conf Processing: ./foremost.conf |------------------------------------------------------------------ File: ./foremost.conf Start: Fri May 26 07:51:49 2023 Length: 485 B (485 bytes) Num Name (bs=512) Size File Offset Comment 0: 00000000.html 41 B 157 1: 00000000.java 12 B 227 2: 00000000.mp3 41 B 297 *| Finish: Fri May 26 07:51:49 2023 Processing: datentraeger.dd |------------------------------------------------------------------ File: datentraeger.dd Start: Fri May 26 07:51:49 2023 Length: 15 MB (15728640 bytes) Num Name (bs=512) Size File Offset Comment 3: 00004248.png 459 B 2174976 4: 00005745.jpg 24 B 2941542 5: 00018434.jpg 237 B 9438208 6: 00017416.html 97 KB 8917085 7: 00017418.java 12 B 8918016 8: 00017418_1.java 97 KB 8918038 9: 00004625.mp3 263 B 2368471 10: 00024578.mpeg 76 B 12583936 11: 00024830.mpeg 762 B 12712960 12: 00024882.mpeg 166 B 12739584 13: 00024886.mpeg 291 B 12741632 14: 00024922.mpeg 436 B 12760064 15: 00024926.mpeg 473 B 12762112 16: 00024930.mpeg 609 B 12764160 17: 00024934.mpeg 306 B 12766208 18: 00024962.mpeg 385 B 12780544 19: 00024966.mpeg 322 B 12782592 20: 00024970.mpeg 68 B 12784640 21: 00024974.mpeg 677 B 12786688 22: 00025002.mpeg 545 B 12801024 23: 00025006.mpeg 109 B 12803072 24: 00025010.mpeg 242 B 12805120 25: 00025014.mpeg 66 B 12807168 26: 00025038.mpeg 265 B 12819456 27: 00025042.mpeg 356 B 12821504 28: 00025046.mpeg 573 B 12823552 29: 00025050.mpeg 8 B 12825600 30: 00025074.mpeg 23 B 12837888 31: 00025078.mpeg 332 B 12839936 32: 00025082.mpeg 1 KB 12841984 33: 00025086.mpeg 298 B 12844032 34: 00025110.mpeg 306 B 12856320 35: 00025114.mpeg 387 B 12858368 36: 00025118.mpeg 275 B 12860416 37: 00025122.mpeg 44 B 12862464 38: 00025146.mpeg 1 KB 12874752 39: 00025150.mpeg 1 KB 12876800 40: 00025154.mpeg 651 B 12878848 41: 00025158.mpeg 9 B 12880896 42: 00025182.mpeg 194 B 12893184 43: 00025186.mpeg 269 B 12895232 44: 00025190.mpeg 173 B 12897280 45: 00025218.mpeg 175 B 12911616 46: 00025222.mpeg 104 B 12913664 47: 00025226.mpeg 94 B 12915712 48: 00025250.mpeg 400 B 12928000 49: 00025254.mpeg 674 B 12930048 50: 00025258.mpeg 243 B 12932096 51: 00025286.mpeg 89 B 12946432 52: 00025290.mpeg 606 B 12948480 53: 00025294.mpeg 79 B 12950528 54: 00025318.mpeg 154 B 12962816 55: 00025322.mpeg 127 B 12964864 56: 00025326.mpeg 182 B 12966912 57: 00025350.mpeg 21 B 12979200 58: 00025354.mpeg 21 B 12981248 59: 00025358.mpeg 138 B 12983296 60: 00025382.mpeg 172 B 12995584 61: 00025386.mpeg 124 B 12997632 62: 00025390.mpeg 7 B 12999680 63: 00025414.mpeg 7 B 13011968 64: 00025418.mpeg 7 B 13014016 65: 00025422.mpeg 86 B 13016064 66: 00025446.mpeg 774 B 13028352 67: 00025450.mpeg 166 B 13030400 68: 00025454.mpeg 291 B 13032448 69: 00025478.mpeg 203 B 13044736 70: 00025482.mpeg 394 B 13046784 71: 00025486.mpeg 225 B 13048832 72: 00025510.mpeg 249 B 13061120 73: 00025514.mpeg 842 B 13063168 74: 00025518.mpeg 134 B 13065216 75: 00025542.mpeg 283 B 13077504 76: 00025546.mpeg 181 B 13079552 77: 00025550.mpeg 93 B 13081600 78: 00025574.mpeg 671 B 13093888 79: 00025578.mpeg 32 B 13095936 80: 00025582.mpeg 52 B 13097984 81: 00025606.mpeg 36 B 13110272 82: 00025610.mpeg 376 B 13112320 83: 00025634.mpeg 908 B 13124608 84: 00025638.mpeg 152 B 13126656 85: 00025642.mpeg 225 B 13128704 86: 00025666.mpeg 285 B 13140992 87: 00025670.mpeg 367 B 13143040 88: 00025674.mpeg 155 B 13145088 89: 00025698.mpeg 743 B 13157376 90: 00025702.mpeg 193 B 13159424 91: 00025706.mpeg 166 B 13161472 92: 00025730.mpeg 149 B 13173760 93: 00025734.mpeg 344 B 13175808 94: 00025758.mpeg 65 B 13188096 95: 00025762.mpeg 193 B 13190144 96: 00025766.mpeg 215 B 13192192 97: 00025770.mpeg 209 B 13194240 98: 00025790.mpeg 493 B 13204480 99: 00025794.mpeg 504 B 13206528 100: 00025798.mpeg 67 B 13208576 101: 00025822.mpeg 29 B 13220864 102: 00025826.mpeg 116 B 13222912 103: 00025830.mpeg 473 B 13224960 104: 00025850.mpeg 312 B 13235200 105: 00025854.mpeg 192 B 13237248 106: 00025858.mpeg 112 B 13239296 107: 00025882.mpeg 157 B 13251584 108: 00025886.mpeg 483 B 13253632 109: 00025910.mpeg 1 KB 13265920 110: 00025914.mpeg 359 B 13267968 111: 00002172.txt 12 KB 1112069 (IND BLK bs:=512) 112: 00002174.txt 11 KB 1113093 (IND BLK bs:=512) 113: 00002212.txt 1 KB 1132549 114: 00018434.txt 58 B 9438387 115: 00018434_1.txt 48 B 9438513 116: 00018434_2.txt 19 B 9438542 *| Finish: Fri May 26 07:51:49 2023 117 FILES EXTRACTED png:= 1 jpg:= 2 html:= 2 java:= 3 mp3:= 2 mpeg:= 101 txt:= 6 ------------------------------------------------------------------ Foremost finished at Fri May 26 07:51:49 2023 ``` Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Foremost findet von allen Dateien außer png mehr als die eine Datei, während das bei scalpel nur bei java und mpg/mpeg der Fall ist. Diese Anhäufung von Dateien kann durch “false positives” entstehen.