File- und Datei-Carving Technologie

Carving von Dateien auf Festplatte und Speicher

Datei Carving oder manchmal auch einfach nur als "Carving" oder "File Carving" bezeichnet ist ein Verfahren, was sowohl in der Datenrettung, als auch innerhalb der IT-Forensik eingesetzt wird. Das Verfahren wird eingesetzt um Daten basierend auf ihren Inhalten zu erkennen und nicht anhand ihrer Metainformationen. Datei- oder auch File-Carving ist ein mächtiges Werkzeug, wenn es darum geht Dateien oder einzelne Dateielemente, bzw. Fragmente zu analysieren, insbesondere dann, wenn Verzeichniseinträge beschädigt oder komplett nicht mehr vorhanden sind. So zum Beispiel in Fällen von sehr alten Dateien die längst einmal im Zuge der Zeit gelöscht worden sind oder in Fällen in denen Daten innerhalb eines beschädigten Dateisystems analysiert werden sollen.

Memory Carving / Speicher-Carving Technologie

Der Einsatz von Speicher- oder auch "Memory Carving" Technologien ist sinnvoll wenn es darum geht physikalische oder virtuelle Speicherabbilder zu untersuchen und wird in der Regel immer dann angewandt, wenn Speicherstrukturen unbekannt oder überschrieben wurden.

Die meisten in der IT-Forensik angewandten Datei-Carver untersuchen in der Praxis zunächst einmal eventuell vorhandene Datei-Header und Datei-Footer und versuchen im Anschluß die Blöcke zwischen diesen beiden Kennzeichnungen des Dateianfangs und des Dateiendes "herauszukraten" (engl. für carving). Das Semantische Carving basiert auf der Analyse von Inhalten der jeweiligen Dateien.

Generell werden Carving-Technologien in der IT-forensischen Praxis immer anhand von zuvor erstellen sektorbasierten Speicherabbildern eingesetzt. Direkt am original Datenträger zu arbeiten ist im sowohl Rahmen der Datenrettung und Wiederherstellung, als auch innerhalb der Computer-Forensik und allen Ihren angeschlossenen Methodiken ein "No-Go".

Datei Carving Programme

Es gibt eine Hülle und Fülle an bekannten und eher unbekannteren Carving-Programmen die mitunter hochspezialisiert zur Erkennung von bestimmten Dateitypen programmiert wurden. In der IT-Forensischen Praxis wird Datei- und Speicher-Carving sowohl von Encase Forensics als auch von X-Way Forensics unterstützt. Beide Programme werden auch für Computer-Forensische Diente und im Rahmen der Datenrettung durch die Datenambulanz von KUERT eingesetzt.

Vor und Nachteile von Carving-Technologie

Viele Carving-Programme verfügen über eine Option um nur innerhalb eines bestimmten Sektors oder an bestimmten Sektorgrenzen an denen Datei-Header gefunden wurden zu suchen. Jedoch kann eine Suche nach den kompletten Inhalten einer Datei auch dazu führen, dass Dateien gefunden werden, die widerum in anderen Dateien eingebunden sind, wie zum Beispiel JPEG-Dateien die innerhalb eine Microsoft Word Dokuments oder einer Power-Point Präsentation eingebettet sind oder waren.


Die meisten Programme zum File Carving eignen sich nur zur Untersuchung von Dateien, die unmittelbar hintereinander und nicht fragmentiert auf dem Speichermedium liegen.