Es gibt immer wieder Fälle, in denen Täter versuchen, ihre digitalen Spuren zu verwischen, indem sie beispielsweise Dateien löschen und die jeweiligen Stellen mit anderen Daten überschreiben. Existieren in einem Speicher noch Fragmente von solchen Dateien, die noch nicht überschrieben sind, dann ist können Ermittler mit Hilfe von File Carvern solche Dateifragmente erkennen, extrahieren und Rückschlüsse auf die ursprüngliche Datei ziehen. Beim File Carving sucht die Software nach typischen Byte-Sequenzen, beispielsweise nach dem Anfang oder dem Ende von Dateien (Header und Footer) oder bestimmten Datenmustern spezieller Dateitypen. Werden ausreichend viele Fragmente einer gelöschten Datei identifiziert, so kann oftmals auf die gelöschte Datei geschlossen werden. Oftmals lässt sich diese teilweise oder sogar vollständig wiederherstellen. Je nach Dateityp sind unterschiedliche Filer Carver erforderlich.

Multimedia File Carving Framework

Fraunhofer SIT hat hierfür ein Framework entwickelt, das die Funktionalität verschiedener Multimedia File Carver mit weiteren IT-forensischen Analysemethoden verbindet. Multimedia File Carver machen sich im Gegensatz zu herkömmlichen Carvern besondere Eigenschaften von Stream-basierten Multimediadaten auf intelligente Weise zunutze, indem sie nicht ausschließlich auf die Erkennung von Header- und Footer-Daten vertrauen, sondern bspw. ein MPEG-1-Video anhand dessen interner Struktur analysieren. Ist eine vollständige Rekonstruktion einer Multimedia-Datei mittels Header-/Footer-Erkennung nicht möglich, so nutzen Multimedia File Carver die extrahierten Informationen, um einzelne Teile in Multimediadaten (z.B. Frames in Videos) wieder herzustellen. Somit erhält ein IT-Forensiker zwar kein vollständig rekonstruiertes Video, kann jedoch mit Hilfe eines Multimedia File Carvers zumindest verschiedene einzelne Frames aus diesem Video rekonstruieren und für eine weitere Analyse verwenden. Sind beispielsweise die rekonstruierten Dateifragmente in den Blacklists oder den Whitelists der Ermittler enthalten, dann können Aussagen über die frühere Existenz der Originaldatei auf dem Datenträger getroffen werden. Fraunhofer SIT bietet Lizenzen für das Multimedia File Carving Framework oder für einzelne Komponenten des Frameworks an, die gegebenenfalls in andere Forensik-Produkte integriert werden können.