dif_gruppe_m/uebung3/logbuch_a1.md

Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.

___

**[14.04.2023 17:15:25 UTC+2]**: Es wurde ein Terminal geöffnet und mithilfe des folgenden Commands in das Download-Verzeichnis gewechselt:
>$ cd Download

**[14.04.2023 17:19:32 UTC+2]**: Es wird in das neue Verzeichnis gewechselt und ein neues Verzeichnis “U3-mnt” angelegt mit den folgenden Commands.
>$ cd mnt
>$ mkdir U3-mnt
Anschließend wird mit dem folgenden Command zurück in das Download-Verzeichnis gewechselt.
>$ cd ..

**[14.04.2023 17:21:29 UTC+2]**: Die Image-Datei wird als Read-Only Mount Point mit dem folgenden Command gemountet.
>$ sudo mount -t auto -o ro U2.img ./mnt/U3-mnt 

**[14.04.2023 17:53:03 UTC+2]**: Mit Hilfe des Tools dd (disk dump) werden die Dateien aus dem gemounteten Image Byte-für-Byte kopiert 
>$ dd if=./mnt/U3-mnt/RecoverMe01 of=Recovered01
3086+1 records in
3086+1 records out
1580424 bytes (1.6 MB, 1.5 MiB) copied, 0.0354694 s, 44.6 MB/s
>$ dd if=./mnt/U3-mnt/RecoverMe02 of=Recovered02
35+1 records in
35+1 records out
18176 bytes (18 kB, 18 KiB) copied, 0.00117371 s, 15.5 MB/s

**[14.04.2023 17:55:23 UTC+2]**: Es wird versucht die Dateien zu öffnen, jedoch passiert nichts. 
>$ open Recovered01
>$ open Recovered02

**[14.04.2023 17:59:59 UTC+2]**: Die Datei Recovered01 wird mit dem hexeditor Version 0.9.7 geöffnet:
>$ hexeditor Recovered01

Aufgrund der zu erkennenden Daten in der Hex-Datei (“Canon”, “Adobe Photoshop”), kann davon ausgegangen werden, dass es sich bei “Recovered01” um eine Bilddatei handelt: 
- cr2		(Canon RAW Format)			49 49 2A 00 10 00 00 00 \n 43 52
- psd		(Photoshop Document File)	38 42 50 53
- png		(Portable Network Graphics)		89 50 4E 47 0D 0A 1A 0A
- jpg 		(Joint Photographic Experts Group)	FF D8 FF E0

Quelle: https://en.wikipedia.org/wiki/List_of_file_signatures

**[14.04.2023 18:24:17 UTC+2]**: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt

0F D8 FF E1  27 4F 45 78 -> FF D8 FF E1  27 4F 45 78

Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist ein Bild des Hochhauses:
>$ open Recovered01

**[14.04.2023 18:27: UTC+2]**: Die Datei Recovered02 wird analog zu Recovered01 mit dem hexeditor Version 0.9.7 geöffnet:
>$ hexeditor Recovered02

Aufgrund der zu erkennenden Daten in der Hex-Datei (“.PNw”), kann davon ausgegangen werden, dass es sich bei “Recovered02” um eine Bilddatei und speziell um eine PNG-Datei handelt: 
- png		(Portable Network Graphics)		89 50 4E 47 0D 0A 1A 0A

**[14.04.2023 18:31:01: UTC+2]**: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt

89 50 4E 77 0D 0A 1A 0A  -> 89 50 4E 47 0D 0A 1A 0A

Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist das Logo der Hochschule Mannheim:
	$ open Recovered02
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00			`Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.`

			`___`

			`[14.04.2023 17:15:25 UTC+2]: Es wurde ein Terminal geöffnet und mithilfe des folgenden Commands in das Download-Verzeichnis gewechselt:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ cd Download`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 17:19:32 UTC+2]: Es wird in das neue Verzeichnis gewechselt und ein neues Verzeichnis “U3-mnt” angelegt mit den folgenden Commands.`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ cd mnt`
			`>$ mkdir U3-mnt`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00			`Anschließend wird mit dem folgenden Command zurück in das Download-Verzeichnis gewechselt.`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ cd ..`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 17:21:29 UTC+2]: Die Image-Datei wird als Read-Only Mount Point mit dem folgenden Command gemountet.`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ sudo mount -t auto -o ro U2.img ./mnt/U3-mnt`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 17:53:03 UTC+2]: Mit Hilfe des Tools dd (disk dump) werden die Dateien aus dem gemounteten Image Byte-für-Byte kopiert`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ dd if=./mnt/U3-mnt/RecoverMe01 of=Recovered01`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00			`3086+1 records in`
			`3086+1 records out`
			`1580424 bytes (1.6 MB, 1.5 MiB) copied, 0.0354694 s, 44.6 MB/s`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ dd if=./mnt/U3-mnt/RecoverMe02 of=Recovered02`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00			`35+1 records in`
			`35+1 records out`
			`18176 bytes (18 kB, 18 KiB) copied, 0.00117371 s, 15.5 MB/s`

			`[14.04.2023 17:55:23 UTC+2]: Es wird versucht die Dateien zu öffnen, jedoch passiert nichts.`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ open Recovered01`
			`>$ open Recovered02`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 17:59:59 UTC+2]: Die Datei Recovered01 wird mit dem hexeditor Version 0.9.7 geöffnet:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ hexeditor Recovered01`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`Aufgrund der zu erkennenden Daten in der Hex-Datei (“Canon”, “Adobe Photoshop”), kann davon ausgegangen werden, dass es sich bei “Recovered01” um eine Bilddatei handelt:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:51:51 +02:00			`- cr2 (Canon RAW Format) 49 49 2A 00 10 00 00 00 \n 43 52`
			`- psd (Photoshop Document File) 38 42 50 53`
			`- png (Portable Network Graphics) 89 50 4E 47 0D 0A 1A 0A`
			`- jpg (Joint Photographic Experts Group) FF D8 FF E0`

logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00			`Quelle: https://en.wikipedia.org/wiki/List_of_file_signatures`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:51:51 +02:00
			`[14.04.2023 18:24:17 UTC+2]: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`0F D8 FF E1 27 4F 45 78 -> FF D8 FF E1 27 4F 45 78`

			`Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist ein Bild des Hochhauses:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ open Recovered01`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 18:27: UTC+2]: Die Datei Recovered02 wird analog zu Recovered01 mit dem hexeditor Version 0.9.7 geöffnet:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:55:52 +02:00			`>$ hexeditor Recovered02`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`Aufgrund der zu erkennenden Daten in der Hex-Datei (“.PNw”), kann davon ausgegangen werden, dass es sich bei “Recovered02” um eine Bilddatei und speziell um eine PNG-Datei handelt:`
„uebung3/logbuch_a1.md“ ändern 2023-05-07 13:51:51 +02:00			`- png (Portable Network Graphics) 89 50 4E 47 0D 0A 1A 0A`
logbuecher fuer uebung 3 aufgabe 1 und 2 hinzugefuegt 2023-05-07 13:48:28 +02:00
			`[14.04.2023 18:31:01: UTC+2]: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt`

			`89 50 4E 77 0D 0A 1A 0A -> 89 50 4E 47 0D 0A 1A 0A`

			`Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist das Logo der Hochschule Mannheim:`
			`$ open Recovered02`