dif_gruppe_m/uebung3/logbuch_a1.md

61 lines
3.2 KiB
Markdown
Raw Normal View History

Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
___
**[14.04.2023 17:15:25 UTC+2]**: Es wurde ein Terminal geöffnet und mithilfe des folgenden Commands in das Download-Verzeichnis gewechselt:
2023-05-07 13:55:52 +02:00
>$ cd Download
**[14.04.2023 17:19:32 UTC+2]**: Es wird in das neue Verzeichnis gewechselt und ein neues Verzeichnis “U3-mnt” angelegt mit den folgenden Commands.
2023-05-07 13:55:52 +02:00
>$ cd mnt
>$ mkdir U3-mnt
Anschließend wird mit dem folgenden Command zurück in das Download-Verzeichnis gewechselt.
2023-05-07 13:55:52 +02:00
>$ cd ..
**[14.04.2023 17:21:29 UTC+2]**: Die Image-Datei wird als Read-Only Mount Point mit dem folgenden Command gemountet.
2023-05-07 13:55:52 +02:00
>$ sudo mount -t auto -o ro U2.img ./mnt/U3-mnt
**[14.04.2023 17:53:03 UTC+2]**: Mit Hilfe des Tools dd (disk dump) werden die Dateien aus dem gemounteten Image Byte-für-Byte kopiert
2023-05-07 13:55:52 +02:00
>$ dd if=./mnt/U3-mnt/RecoverMe01 of=Recovered01
3086+1 records in
3086+1 records out
1580424 bytes (1.6 MB, 1.5 MiB) copied, 0.0354694 s, 44.6 MB/s
2023-05-07 13:55:52 +02:00
>$ dd if=./mnt/U3-mnt/RecoverMe02 of=Recovered02
35+1 records in
35+1 records out
18176 bytes (18 kB, 18 KiB) copied, 0.00117371 s, 15.5 MB/s
**[14.04.2023 17:55:23 UTC+2]**: Es wird versucht die Dateien zu öffnen, jedoch passiert nichts.
2023-05-07 13:55:52 +02:00
>$ open Recovered01
>$ open Recovered02
**[14.04.2023 17:59:59 UTC+2]**: Die Datei Recovered01 wird mit dem hexeditor Version 0.9.7 geöffnet:
2023-05-07 13:55:52 +02:00
>$ hexeditor Recovered01
Aufgrund der zu erkennenden Daten in der Hex-Datei (“Canon”, “Adobe Photoshop”), kann davon ausgegangen werden, dass es sich bei “Recovered01” um eine Bilddatei handelt:
2023-05-07 13:51:51 +02:00
- cr2 (Canon RAW Format) 49 49 2A 00 10 00 00 00 \n 43 52
- psd (Photoshop Document File) 38 42 50 53
- png (Portable Network Graphics) 89 50 4E 47 0D 0A 1A 0A
- jpg (Joint Photographic Experts Group) FF D8 FF E0
Quelle: https://en.wikipedia.org/wiki/List_of_file_signatures
2023-05-07 13:51:51 +02:00
**[14.04.2023 18:24:17 UTC+2]**: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
0F D8 FF E1 27 4F 45 78 -> FF D8 FF E1 27 4F 45 78
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist ein Bild des Hochhauses:
2023-05-07 13:55:52 +02:00
>$ open Recovered01
**[14.04.2023 18:27: UTC+2]**: Die Datei Recovered02 wird analog zu Recovered01 mit dem hexeditor Version 0.9.7 geöffnet:
2023-05-07 13:55:52 +02:00
>$ hexeditor Recovered02
Aufgrund der zu erkennenden Daten in der Hex-Datei (“.PNw”), kann davon ausgegangen werden, dass es sich bei “Recovered02” um eine Bilddatei und speziell um eine PNG-Datei handelt:
2023-05-07 13:51:51 +02:00
- png (Portable Network Graphics) 89 50 4E 47 0D 0A 1A 0A
**[14.04.2023 18:31:01: UTC+2]**: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
89 50 4E 77 0D 0A 1A 0A -> 89 50 4E 47 0D 0A 1A 0A
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist das Logo der Hochschule Mannheim:
$ open Recovered02