Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
[11.05.2023 19:13:25 UTC+2]: Die Zip-Datei wurde in der VM heruntergeladen. Anschließend wird ein Terminal geöffnet und mit $ cd Downloads in das Download-Verzeichnis gewechselt.
[11.05.2023 19:19:02 UTC+2]: Es wird versucht die Datei mit Hilfe von 7-Zip zu entpacken:
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i9-8950HK CPU @ 2.90GHz (906EA),ASM,AES-NI)
Scanning the drive for archives:
1 file, 5484894 bytes (5357 KiB)
Extracting archive: vUSB(1).zip
Path = vUSB(1).zip
Type = zip
Physical Size = 5484894
30% - vUSB.imgEverything is Ok
Size: 3221225472
Compressed: 5484894
```
[11.05.2023 19:23:54 UTC+2]: Es wird mit $ ls überprüft, ob das Entpacken funktioniert hat. Dabei wird folgender Output generiert, an dem man erkennen kann, dass das Entpacken scheinbar funktioniert hat:
0.07% of uncompressed filesystem size (3145824.25 Kbytes)
Inode table size 492 bytes (0.48 Kbytes)
0.50% of uncompressed inode table size (98394 bytes)
Directory table size 28 bytes (0.03 Kbytes)
93.33% of uncompressed directory table size (30 bytes)
Number of duplicate files found 0
Number of inodes 2
Number of files 1
Number of fragments 0
Number of symbolic links 0
Number of device nodes 0
Number of fifo nodes 0
Number of socket nodes 0
Number of directories 1
Number of hard-links 0
Number of ids (unique uids + gids) 1
Number of uids 1
kali (1000)
Number of gids 1
kali (1000)
```
[30.05.2023 16:26:55 UTC+2]: Es wird versucht mit fsstat herauszufinden, welches Dateisystem auf dem USB befindet:
`$ fsstat vUSB.img `
Dabei wird folgender Output generiert:
```
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: FAT32
OEM Name: mkfs.fat
Volume ID: 0x3700c1ae
Volume Label (Boot Sector): NO NAME
Volume Label (Root Directory):
File System Type Label: FAT32
Next Free Sector (FS Info): 16920
Free Sector Count (FS Info): 6274528
Sectors before file system: 0
File System Layout (in sectors)
Total Range: 0 - 6291455
* Reserved: 0 - 31
** Boot Sector: 0
** FS Info Sector: 1
** Backup Boot Sector: 6
* FAT 0: 32 - 6167
* FAT 1: 6168 - 12303
* Data Area: 12304 - 6291455
** Cluster Area: 12304 - 6291455
*** Root Directory: 12304 - 12311
METADATA INFORMATION
--------------------------------------------
Range: 2 - 100466438
Root Directory: 2
CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 2 - 784895
FAT CONTENTS (in sectors)
--------------------------------------------
12304-12311 (8) -> EOF
12312-12695 (384) -> EOF
12696-16895 (4200) -> EOF
16896-16927 (32) -> EOF
```
[30.05.2023 16:37:45 UTC+2]: Es wird versucht mit dcfldd den USB-Stick erneut zu sichern und dabei alle 1M Chunks einen Hash zu erzeugen. Dabei wird der Algorithmus SHA1 verwendet und jeder Hash in eine neue Zeile geschrieben:
[30.05.2023 16:44:04 UTC+2]: Es wird versucht mit fls und dem ermittelten Offset und File System Type (siehe ffstat-Command) die Dateien zu extrahieren:
`$ fls -o 12304 -f fat32 vUSB.img`
Dabei wird folgender Output generiert:
`Invalid magic value (Not a FATFS file system (magic))`
[30.05.2023 16:58:13 UTC+2]: Es wird die Inode-Nummer der Datei vUSB.img ermittelt:
`$ ls -i vUSB.img `
Dabei wird folgender Output generiert:
`17432816 vUSB.img`
[30.05.2023 17:04:45 UTC+2]: Es wird versucht mit icat und dem ermittelten Offset und File System Type (siehe ffstat-Command), dem Offset und der ermittelten Inode-Nummer die Dateien zu extrahieren:
`Invalid magic value (Not a FATFS file system (magic))`
[30.05.2023 17:13:18 UTC+2]: Der Output der Dateien wird mit dem fls ermittelt:
`$ fls vUSB.img`
Dabei wird folgender Output generiert:
```
r/r 4: Bild1.jpg
r/r 6: Bild2.jpeg
r/r 8: Blue.png
v/v 100466435: $MBR
v/v 100466436: $FAT1
v/v 100466437: $FAT2
V/V 100466438: $OrphanFiles
```
In diesen Dateien befinden sich drei Bilder. Das erste Bild ist ein Adler, der in die Kamera schaut, das zweite Bild ist ein fliegender Adler, der gestreckte Flügel und gestreckte Beine zeigt und das letzte Bild ist ein blau ausgefülltes Bild.
Bei dem blauen Bild wurde eine Auffälligkeit im Histogramm entdeckt. Die RGB-Werte zeigen, dass es sich nicht um ein rein blaues Bild handelt, sondern sich auch eine Abstufung des Blautons in dem Bild befindet. Nach Ändern des Bild-Kontrastes wurde eine Schrift auf dem Bild entdeckt, die Folgendes liest: "PIN 5713". Der Verdacht, dass sich in dem zur Durchsicht mitgenommenen Datenträgern eine PIN für die Entsperrung des Mobilfunktelefons wurde somit bestätigt.