29 KiB
29 KiB
Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
[25.05.2023 10:34:46 UTC+2]: Über die Linux Shell wird mit $ cd Desktop zum Desktop navigiert und dort mit $ mkdir uebung5 ein neues Directory für die Übung 5 angelegt. Anschließend wird in dieses Directory mit $ cd uebung5 gewechselt.
[25.05.2023 10:37:15 UTC+2]: Es wird mit $ touch script.sh eine leere Textdatei erzeugt und diese mit $ nano script.sh geöffnet. In dieser wird nun ein kurzes Shell-Skript geschrieben, mit dem ein Datenträger von 15MB erzeugt werden soll und anschließend mit dem Linux Filesystem formatiert werden soll.
[25.05.2023 10:53:28 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird $ chmod +x script.sh genutzt. Anschließend wird das Skript mit $ ./script.sh ausgeführt. Dabei wird folgende Ausgabe generiert:
Erstelle Datentraeger...
15+0 records in
15+0 records out
15728640 bytes (16 MB, 15 MiB) copied, 0.0126921 s, 1.2 GB/s
Formatiere den Datentraeger...
mke2fs 1.46.6 (1-Feb-2023)
Discarding device blocks: done
Creating filesystem with 15360 1k blocks and 3840 inodes
Filesystem UUID: d986c975-168f-4573-bf70-580c2527e581
Superblock backups stored on blocks:
8193
Allocating group tables: done
Writing inode tables: done
Creating journal (1024 blocks): done
Writing superblocks and filesystem accounting information: done
[25.05.2023 10:58:16 UTC+2]: Es werden im Directory files, welches mit $ mkdir files erzeugt wurde, verschiedene Dateien gesammelt/erzeugt.
Screenshot.png (Screenshot des Desktops)
Hochschule.jpg (Bild des Hochhaus der Hochschule Mannheim)
document.txt (Textdatei mit 118 Zeilen)
video.mpeg (Bildschirmaufnahme)
audio.mp3 (Audio der Bildschirmaufnahme)
java_dummy.java (Hello World Programm)
html_dummy.html (einfache html Seite)
[25.05.2023 22:07:48 UTC+2]: Es wird mit $ touch script2.sh eine leere Textdatei erzeugt und diese mit $ nano script2.sh geöffnet. In dieser wird nun ein Shell-Skript geschrieben, um die Dateien in den Datenträger zu kopieren.
[25.05.2023 12:04:43 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird $ chmod +x script2.sh genutzt. Anschließend wird das Skript mit $ ./script2.sh ausgeführt. Dabei wird folgender Output generiert:
Datentraeger wird gemountet...
Dateien werden kopiert...
Mount des Datentraegers wird rückgaengig gemacht...
[26.05.2023 09:22:05 UTC+2]: Um scalpel nutzen zu können, muss zunächst die scalpel.conf Datei angepasst werden. In der Datei müssen die Dateitypen angegeben werden, die gecarved werden sollen. Dazu wird mit $ cd /etc/scalpel in das scalpel Directory gewechselt und danach die Datei scalpel.conf mit $ sudo nano scalpel.conf geöffnet.
[26.05.2023 09:51:34 UTC+2]: Es wird mit $ cd ~/Desktop/uebung5 zurück in das uebung5 Directory gewechselt. Anschließend wird der scalpel Befehl ausgeführt:
$ scalpel -o ./Scalpel-output ./datentraeger
Dabei wird folgender Output generiert:
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/home/kali/Desktop/uebung5/datentraeger.dd"
Image file pass 1/2.
datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAAllocating work queues...A
Work queues allocation complete. Building carve lists...
Carve lists built. Workload:
jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x45\x78\x69\x66" and footer "\xff\xd9" --> 1 files
jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x4a\x46\x49\x46" and footer "\xff\xd9" --> 0 files
png with header "\x50\x4e\x47\x3f" and footer "\xff\xfc\xfd\xfe" --> 1 files
mpg with header "\x00\x00\x01\xba" and footer "\x00\x00\x01\xb9" --> 0 files
mpg with header "\x00\x00\x01\xb3" and footer "\x00\x00\x01\xb7" --> 0 files
mpeg with header "\x00\x00\x01\xba" and footer "\xff\xff\xff\xff\xff\xff\xff\xff" --> 101 files
mp3 with header "\xff\xfb\x3f\x3f\x44\x00\x00" and footer "" --> 1 files
mp3 with header "\x57\x41\x56\x5c\x34\x35" and footer "\x00\x00\xff\x5c" --> 0 files
mp3 with header "\xff\xfb\xd0\x5c" and footer "\xd1\x35\x51\xcc\x5c" --> 0 files
mp3 with header "\x49\x44\x33\x5c" and footer "" --> 0 files
mp3 with header "\x4c\x41\x4d\x45\x5c" and footer "" --> 0 files
htm with header "\x3c\x68\x74\x6d\x6c" and footer "\x3c\x2f\x68\x74\x6d\x6c\x3e" --> 1 files
txt with header "\x2d\x2d\x2d\x2d\x2d\x42\x45\x47\x49\x4e\x20\x50\x47\x50" and footer "" --> 1 files
java with header "\x70\x75\x62\x6c\x69\x63" and footer "" --> 2 files
Carving files from image.
Image file pass 2/2.
datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAProcessing of image file complete. Cleaning up...
Done.
Scalpel is done, files carved = 108, elapsed = 0 seconds.
[26.05.2023 13:06:26 UTC+2]: Es wird ein neues Directory foremost-output mit $ mkdir foremost-output angelegt. Anschließend wird der foremost Befehl (folgend) ausgeführt. Dabei wird das Configuration File von scalpel benutzt:
$ foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output
Folgender Output wird generiert:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Fri May 26 07:06:26 2023
Invocation: foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output
Output directory: /home/kali/Desktop/uebung5/foremost-output
Configuration file: /etc/scalpel/scalpel.conf
Processing: datentraeger.dd
|------------------------------------------------------------------
File: datentraeger.dd
Start: Fri May 26 07:06:26 2023
Length: 15 MB (15728640 bytes)
Num Name (bs=512) Size File Offset Comment
0: 00004248.png 1 MB 2174977
1: 00024578.mpg 2 MB 12583936
2: 00024830.mpg 2 MB 12712960
3: 00024882.mpg 2 MB 12739584
4: 00024886.mpg 2 MB 12741632
5: 00024922.mpg 2 MB 12760064
6: 00024926.mpg 2 MB 12762112
7: 00024930.mpg 2 MB 12764160
8: 00024934.mpg 2 MB 12766208
9: 00024962.mpg 2 MB 12780544
10: 00024966.mpg 2 MB 12782592
11: 00024970.mpg 2 MB 12784640
12: 00024974.mpg 2 MB 12786688
13: 00025002.mpg 2 MB 12801024
14: 00025006.mpg 2 MB 12803072
15: 00025010.mpg 2 MB 12805120
16: 00025014.mpg 2 MB 12807168
17: 00025038.mpg 2 MB 12819456
18: 00025042.mpg 2 MB 12821504
19: 00025046.mpg 2 MB 12823552
20: 00025050.mpg 2 MB 12825600
21: 00025074.mpg 2 MB 12837888
22: 00025078.mpg 2 MB 12839936
23: 00025082.mpg 2 MB 12841984
24: 00025086.mpg 2 MB 12844032
25: 00025110.mpg 2 MB 12856320
26: 00025114.mpg 2 MB 12858368
27: 00025118.mpg 2 MB 12860416
28: 00025122.mpg 2 MB 12862464
29: 00025146.mpg 2 MB 12874752
30: 00025150.mpg 2 MB 12876800
31: 00025154.mpg 2 MB 12878848
32: 00025158.mpg 2 MB 12880896
33: 00025182.mpg 2 MB 12893184
34: 00025186.mpg 2 MB 12895232
35: 00025190.mpg 2 MB 12897280
36: 00025218.mpg 2 MB 12911616
37: 00025222.mpg 2 MB 12913664
38: 00025226.mpg 2 MB 12915712
39: 00025250.mpg 2 MB 12928000
40: 00025254.mpg 2 MB 12930048
41: 00025258.mpg 2 MB 12932096
42: 00025286.mpg 2 MB 12946432
43: 00025290.mpg 2 MB 12948480
44: 00025294.mpg 2 MB 12950528
45: 00025318.mpg 2 MB 12962816
46: 00025322.mpg 2 MB 12964864
47: 00025326.mpg 2 MB 12966912
48: 00025350.mpg 2 MB 12979200
49: 00025354.mpg 2 MB 12981248
50: 00025358.mpg 2 MB 12983296
51: 00025382.mpg 2 MB 12995584
52: 00025386.mpg 2 MB 12997632
53: 00025390.mpg 2 MB 12999680
54: 00025414.mpg 2 MB 13011968
55: 00025418.mpg 2 MB 13014016
56: 00025422.mpg 2 MB 13016064
57: 00025446.mpg 2 MB 13028352
58: 00025450.mpg 2 MB 13030400
59: 00025454.mpg 2 MB 13032448
60: 00025478.mpg 2 MB 13044736
61: 00025482.mpg 2 MB 13046784
62: 00025486.mpg 2 MB 13048832
63: 00025510.mpg 2 MB 13061120
64: 00025514.mpg 2 MB 13063168
65: 00025518.mpg 2 MB 13065216
66: 00025542.mpg 2 MB 13077504
67: 00025546.mpg 2 MB 13079552
68: 00025550.mpg 2 MB 13081600
69: 00025574.mpg 2 MB 13093888
70: 00025578.mpg 2 MB 13095936
71: 00025582.mpg 2 MB 13097984
72: 00025606.mpg 2 MB 13110272
73: 00025610.mpg 2 MB 13112320
74: 00025634.mpg 2 MB 13124608
75: 00025638.mpg 2 MB 13126656
76: 00025642.mpg 2 MB 13128704
77: 00025666.mpg 2 MB 13140992
78: 00025670.mpg 2 MB 13143040
79: 00025674.mpg 2 MB 13145088
80: 00025698.mpg 2 MB 13157376
81: 00025702.mpg 2 MB 13159424
82: 00025706.mpg 2 MB 13161472
83: 00025730.mpg 2 MB 13173760
84: 00025734.mpg 2 MB 13175808
85: 00025758.mpg 2 MB 13188096
86: 00025762.mpg 2 MB 13190144
87: 00025766.mpg 2 MB 13192192
88: 00025770.mpg 2 MB 13194240
89: 00025790.mpg 2 MB 13204480
90: 00025794.mpg 2 MB 13206528
91: 00025798.mpg 2 MB 13208576
92: 00025822.mpg 2 MB 13220864
93: 00025826.mpg 2 MB 13222912
94: 00025830.mpg 2 MB 13224960
95: 00025850.mpg 2 MB 13235200
96: 00025854.mpg 2 MB 13237248
97: 00025858.mpg 2 MB 13239296
98: 00025882.mpg 2 MB 13251584
99: 00025886.mpg 2 MB 13253632
100: 00025910.mpg 2 MB 13265920
101: 00025914.mpg 2 MB 13267968
102: 00021595.mpg 4 MB 11056966
103: 00024578_1.mpg 2 MB 12583979
104: 00024836.mpg 2 MB 12716501
105: 00024885.mpg 2 MB 12741343
106: 00024932.mpg 2 MB 12765188
107: 00024972.mpg 2 MB 12785792
108: 00025010_1.mpg 2 MB 12805389
109: 00025048.mpg 2 MB 12824642
110: 00025083.mpg 2 MB 12842811
111: 00025119.mpg 2 MB 12860990
112: 00025154_1.mpg 2 MB 12879065
113: 00025189.mpg 2 MB 12896853
114: 00025224.mpg 2 MB 12914716
115: 00025257.mpg 2 MB 12931902
116: 00025290_1.mpg 2 MB 12948739
117: 00025323.mpg 2 MB 12965501
118: 00025355.mpg 2 MB 12981937
119: 00025387.mpg 2 MB 12998437
120: 00025419.mpg 2 MB 13015023
121: 00025451.mpg 2 MB 13031140
122: 00025483.mpg 2 MB 13047461
123: 00025515.mpg 2 MB 13063842
124: 00025547.mpg 2 MB 13080356
125: 00025578_1.mpg 2 MB 13096398
126: 00025609.mpg 2 MB 13111919
127: 00025640.mpg 2 MB 13127739
128: 00025671.mpg 2 MB 13143750
129: 00025702_1.mpg 2 MB 13159887
130: 00025733.mpg 2 MB 13175701
131: 00025766_1.mpg 2 MB 13192265
132: 00025796.mpg 2 MB 13207905
133: 00025826_1.mpg 2 MB 13223225
134: 00025856.mpg 2 MB 13238676
135: 00025885.mpg 2 MB 13253231
136: 00025912.mpg 2 MB 13267158
137: 00024578.mpeg 679 KB 12583936
138: 00024830.mpeg 553 KB 12712960
139: 00024882.mpeg 527 KB 12739584
140: 00024886.mpeg 525 KB 12741632
141: 00024922.mpeg 507 KB 12760064
142: 00024926.mpeg 505 KB 12762112
143: 00024930.mpeg 503 KB 12764160
144: 00024934.mpeg 501 KB 12766208
145: 00024962.mpeg 487 KB 12780544
146: 00024966.mpeg 485 KB 12782592
147: 00024970.mpeg 483 KB 12784640
148: 00024974.mpeg 481 KB 12786688
149: 00025002.mpeg 467 KB 12801024
150: 00025006.mpeg 465 KB 12803072
151: 00025010.mpeg 463 KB 12805120
152: 00025014.mpeg 461 KB 12807168
153: 00025038.mpeg 449 KB 12819456
154: 00025042.mpeg 447 KB 12821504
155: 00025046.mpeg 445 KB 12823552
156: 00025050.mpeg 443 KB 12825600
157: 00025074.mpeg 431 KB 12837888
158: 00025078.mpeg 429 KB 12839936
159: 00025082.mpeg 427 KB 12841984
160: 00025086.mpeg 425 KB 12844032
161: 00025110.mpeg 413 KB 12856320
162: 00025114.mpeg 411 KB 12858368
163: 00025118.mpeg 409 KB 12860416
164: 00025122.mpeg 407 KB 12862464
165: 00025146.mpeg 395 KB 12874752
166: 00025150.mpeg 393 KB 12876800
167: 00025154.mpeg 391 KB 12878848
168: 00025158.mpeg 389 KB 12880896
169: 00025182.mpeg 377 KB 12893184
170: 00025186.mpeg 375 KB 12895232
171: 00025190.mpeg 373 KB 12897280
172: 00025218.mpeg 359 KB 12911616
173: 00025222.mpeg 357 KB 12913664
174: 00025226.mpeg 355 KB 12915712
175: 00025250.mpeg 343 KB 12928000
176: 00025254.mpeg 341 KB 12930048
177: 00025258.mpeg 339 KB 12932096
178: 00025286.mpeg 325 KB 12946432
179: 00025290.mpeg 323 KB 12948480
180: 00025294.mpeg 321 KB 12950528
181: 00025318.mpeg 309 KB 12962816
182: 00025322.mpeg 307 KB 12964864
183: 00025326.mpeg 305 KB 12966912
184: 00025350.mpeg 293 KB 12979200
185: 00025354.mpeg 291 KB 12981248
186: 00025358.mpeg 289 KB 12983296
187: 00025382.mpeg 277 KB 12995584
188: 00025386.mpeg 275 KB 12997632
189: 00025390.mpeg 273 KB 12999680
190: 00025414.mpeg 261 KB 13011968
191: 00025418.mpeg 259 KB 13014016
192: 00025422.mpeg 257 KB 13016064
193: 00025446.mpeg 245 KB 13028352
194: 00025450.mpeg 243 KB 13030400
195: 00025454.mpeg 241 KB 13032448
196: 00025478.mpeg 229 KB 13044736
197: 00025482.mpeg 227 KB 13046784
198: 00025486.mpeg 225 KB 13048832
199: 00025510.mpeg 213 KB 13061120
200: 00025514.mpeg 211 KB 13063168
201: 00025518.mpeg 209 KB 13065216
202: 00025542.mpeg 197 KB 13077504
203: 00025546.mpeg 195 KB 13079552
204: 00025550.mpeg 193 KB 13081600
205: 00025574.mpeg 181 KB 13093888
206: 00025578.mpeg 179 KB 13095936
207: 00025582.mpeg 177 KB 13097984
208: 00025606.mpeg 165 KB 13110272
209: 00025610.mpeg 163 KB 13112320
210: 00025634.mpeg 151 KB 13124608
211: 00025638.mpeg 149 KB 13126656
212: 00025642.mpeg 147 KB 13128704
213: 00025666.mpeg 135 KB 13140992
214: 00025670.mpeg 133 KB 13143040
215: 00025674.mpeg 131 KB 13145088
216: 00025698.mpeg 119 KB 13157376
217: 00025702.mpeg 117 KB 13159424
218: 00025706.mpeg 115 KB 13161472
219: 00025730.mpeg 103 KB 13173760
220: 00025734.mpeg 101 KB 13175808
221: 00025758.mpeg 89 KB 13188096
222: 00025762.mpeg 87 KB 13190144
223: 00025766.mpeg 85 KB 13192192
224: 00025770.mpeg 83 KB 13194240
225: 00025790.mpeg 73 KB 13204480
226: 00025794.mpeg 71 KB 13206528
227: 00025798.mpeg 69 KB 13208576
228: 00025822.mpeg 57 KB 13220864
229: 00025826.mpeg 55 KB 13222912
230: 00025830.mpeg 53 KB 13224960
231: 00025850.mpeg 43 KB 13235200
232: 00025854.mpeg 41 KB 13237248
233: 00025858.mpeg 39 KB 13239296
234: 00025882.mpeg 27 KB 13251584
235: 00025886.mpeg 25 KB 13253632
236: 00025910.mpeg 13 KB 13265920
237: 00025914.mpeg 11 KB 13267968
238: 00020482.mp3 4 MB 10486784
239: 00017416.htm 84 B 8917008
240: 00017410.txt 97 KB 8913920
241: 00017418.java 976 KB 8918016
242: 00017418_1.java 976 KB 8918038
*|
Finish: Fri May 26 07:06:28 2023
243 FILES EXTRACTED
png:= 1
mpg:= 101
mpg:= 35
mpeg:= 101
mp3:= 1
htm:= 1
txt:= 1
java:= 2
------------------------------------------------------------------
Foremost finished at Fri May 26 07:06:28 2023
Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Scalpel findet die jpg Datei, Foremost jedoch nicht. Foremost findet noch weitere mpg/mpeg Dateien, die von Scalpel nicht gefunden werden. Beide Carving Tools finden statt einer Java Datei zwei Java Dateien und mehr mpeg/mpg Dateien als eigentlich vorhanden. Dies lässt sich jedoch durch eventuelle “False Positives” erklären.
ZWEITER VERSUCH FOREMOST
[26.05.2023 13:51:03 UTC+2]: Es wird eine Config-Datei für Foremost angelegt im uebung5 Directory. Anschließend wird der foremost Befehl ausgeführt:
$ foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output
Dabei wird folgender Output generiert:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Fri May 26 07:51:49 2023
Invocation: foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output
Output directory: /home/kali/Desktop/uebung5/foremost-output
Configuration file: /home/kali/Desktop/uebung5/foremost.conf
Processing: ./foremost.conf
|------------------------------------------------------------------
File: ./foremost.conf
Start: Fri May 26 07:51:49 2023
Length: 485 B (485 bytes)
Num Name (bs=512) Size File Offset Comment
0: 00000000.html 41 B 157
1: 00000000.java 12 B 227
2: 00000000.mp3 41 B 297
*|
Finish: Fri May 26 07:51:49 2023
Processing: datentraeger.dd
|------------------------------------------------------------------
File: datentraeger.dd
Start: Fri May 26 07:51:49 2023
Length: 15 MB (15728640 bytes)
Num Name (bs=512) Size File Offset Comment
3: 00004248.png 459 B 2174976
4: 00005745.jpg 24 B 2941542
5: 00018434.jpg 237 B 9438208
6: 00017416.html 97 KB 8917085
7: 00017418.java 12 B 8918016
8: 00017418_1.java 97 KB 8918038
9: 00004625.mp3 263 B 2368471
10: 00024578.mpeg 76 B 12583936
11: 00024830.mpeg 762 B 12712960
12: 00024882.mpeg 166 B 12739584
13: 00024886.mpeg 291 B 12741632
14: 00024922.mpeg 436 B 12760064
15: 00024926.mpeg 473 B 12762112
16: 00024930.mpeg 609 B 12764160
17: 00024934.mpeg 306 B 12766208
18: 00024962.mpeg 385 B 12780544
19: 00024966.mpeg 322 B 12782592
20: 00024970.mpeg 68 B 12784640
21: 00024974.mpeg 677 B 12786688
22: 00025002.mpeg 545 B 12801024
23: 00025006.mpeg 109 B 12803072
24: 00025010.mpeg 242 B 12805120
25: 00025014.mpeg 66 B 12807168
26: 00025038.mpeg 265 B 12819456
27: 00025042.mpeg 356 B 12821504
28: 00025046.mpeg 573 B 12823552
29: 00025050.mpeg 8 B 12825600
30: 00025074.mpeg 23 B 12837888
31: 00025078.mpeg 332 B 12839936
32: 00025082.mpeg 1 KB 12841984
33: 00025086.mpeg 298 B 12844032
34: 00025110.mpeg 306 B 12856320
35: 00025114.mpeg 387 B 12858368
36: 00025118.mpeg 275 B 12860416
37: 00025122.mpeg 44 B 12862464
38: 00025146.mpeg 1 KB 12874752
39: 00025150.mpeg 1 KB 12876800
40: 00025154.mpeg 651 B 12878848
41: 00025158.mpeg 9 B 12880896
42: 00025182.mpeg 194 B 12893184
43: 00025186.mpeg 269 B 12895232
44: 00025190.mpeg 173 B 12897280
45: 00025218.mpeg 175 B 12911616
46: 00025222.mpeg 104 B 12913664
47: 00025226.mpeg 94 B 12915712
48: 00025250.mpeg 400 B 12928000
49: 00025254.mpeg 674 B 12930048
50: 00025258.mpeg 243 B 12932096
51: 00025286.mpeg 89 B 12946432
52: 00025290.mpeg 606 B 12948480
53: 00025294.mpeg 79 B 12950528
54: 00025318.mpeg 154 B 12962816
55: 00025322.mpeg 127 B 12964864
56: 00025326.mpeg 182 B 12966912
57: 00025350.mpeg 21 B 12979200
58: 00025354.mpeg 21 B 12981248
59: 00025358.mpeg 138 B 12983296
60: 00025382.mpeg 172 B 12995584
61: 00025386.mpeg 124 B 12997632
62: 00025390.mpeg 7 B 12999680
63: 00025414.mpeg 7 B 13011968
64: 00025418.mpeg 7 B 13014016
65: 00025422.mpeg 86 B 13016064
66: 00025446.mpeg 774 B 13028352
67: 00025450.mpeg 166 B 13030400
68: 00025454.mpeg 291 B 13032448
69: 00025478.mpeg 203 B 13044736
70: 00025482.mpeg 394 B 13046784
71: 00025486.mpeg 225 B 13048832
72: 00025510.mpeg 249 B 13061120
73: 00025514.mpeg 842 B 13063168
74: 00025518.mpeg 134 B 13065216
75: 00025542.mpeg 283 B 13077504
76: 00025546.mpeg 181 B 13079552
77: 00025550.mpeg 93 B 13081600
78: 00025574.mpeg 671 B 13093888
79: 00025578.mpeg 32 B 13095936
80: 00025582.mpeg 52 B 13097984
81: 00025606.mpeg 36 B 13110272
82: 00025610.mpeg 376 B 13112320
83: 00025634.mpeg 908 B 13124608
84: 00025638.mpeg 152 B 13126656
85: 00025642.mpeg 225 B 13128704
86: 00025666.mpeg 285 B 13140992
87: 00025670.mpeg 367 B 13143040
88: 00025674.mpeg 155 B 13145088
89: 00025698.mpeg 743 B 13157376
90: 00025702.mpeg 193 B 13159424
91: 00025706.mpeg 166 B 13161472
92: 00025730.mpeg 149 B 13173760
93: 00025734.mpeg 344 B 13175808
94: 00025758.mpeg 65 B 13188096
95: 00025762.mpeg 193 B 13190144
96: 00025766.mpeg 215 B 13192192
97: 00025770.mpeg 209 B 13194240
98: 00025790.mpeg 493 B 13204480
99: 00025794.mpeg 504 B 13206528
100: 00025798.mpeg 67 B 13208576
101: 00025822.mpeg 29 B 13220864
102: 00025826.mpeg 116 B 13222912
103: 00025830.mpeg 473 B 13224960
104: 00025850.mpeg 312 B 13235200
105: 00025854.mpeg 192 B 13237248
106: 00025858.mpeg 112 B 13239296
107: 00025882.mpeg 157 B 13251584
108: 00025886.mpeg 483 B 13253632
109: 00025910.mpeg 1 KB 13265920
110: 00025914.mpeg 359 B 13267968
111: 00002172.txt 12 KB 1112069 (IND BLK bs:=512)
112: 00002174.txt 11 KB 1113093 (IND BLK bs:=512)
113: 00002212.txt 1 KB 1132549
114: 00018434.txt 58 B 9438387
115: 00018434_1.txt 48 B 9438513
116: 00018434_2.txt 19 B 9438542
*|
Finish: Fri May 26 07:51:49 2023
117 FILES EXTRACTED
png:= 1
jpg:= 2
html:= 2
java:= 3
mp3:= 2
mpeg:= 101
txt:= 6
------------------------------------------------------------------
Foremost finished at Fri May 26 07:51:49 2023
Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Foremost findet von allen Dateien außer png mehr als die eine Datei, während das bei scalpel nur bei java und mpg/mpeg der Fall ist. Diese Anhäufung von Dateien kann durch “false positives” entstehen.