Vorstellung des filerecon project
Marc Ruef | 26.08.2008

Das filerecon project (http://www.computec.ch/projekte/filerecon/) stellt Forschungs- und Entwicklungsarbeiten zur Identifikation von Dateien und deren Strukturen bereit. So soll es möglich sein, anhand der Analyse einer Datei deren Format und Zugehörigkeit zu identifizieren. Diese Aufgabe kann zum Beispiel bei der Datenwiederherstellung nach einem Absturz oder während einer forensischen Analyse von Wichtigkeit sein.

Die gegenwärtige Implementierung von filerecon orientiert sich an der klassischen Funktionsweise des UNIX-Kommandos file(1) (http://www.freebsd.org/cgi/man.cgi?query=file): In einer Datenbank werden die bekannten Zeichenketten für Dateien abgespeichert und sodann mit den zu untersuchenden Daten verglichen. Kann eine Übereinstimmung gefunden werden, wird die dokumentierte Dateistruktur als solche ausgewiesen.

Zur Zeit werden lediglich reine ASCII-Strings von filerecon 1.x unterstützt. Hexadezimale Zeichen und einzelne Bytes können noch nicht (ohne grössere Aufwände) miteinbezogen werden. Diese Funktionsweise soll jedoch ab der Version 2.0 hinzugefügt werden. Ebenso die optionale Prüfung von Dateierweiterungen zur Querprüfung etwaig ausgemachter Resultate.

Ein Vorteil von filerecon ist, dass sich komplexere Musterprüfungen umsetzen lassen als bei file(1). Es werden nicht mehr exakte Offsets erwartet, sondern es können definierte oder undefinierte Bereiche durchsucht werden. Gerade hochgradig dynamische Formate lassen sich so einfacher identifizieren. Ein anderer Vorteil von filerecon ist, dass die Lösung mit einem Mehr an Transparenz und Einfachheit daherkommt. Das Verändern der Datenbank ist auch während der Laufzeit, mit einem simplen Texteditor und ohne weitreichende Kenntnisse der Programmierung möglich. Das filerecon project unterliegt der GPL und freut sich natürlich über eine Beteiligung bei der Weiterentwicklung und Verbesserung der Lösung.