„uebung5/logbuch_a1.md“ hinzufügen
parent
f9287e4996
commit
438b0839e4
|
@ -0,0 +1,536 @@
|
|||
Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
|
||||
|
||||
|
||||
[25.05.2023 10:34:46 UTC+2]: Über die Linux Shell wird mit `$ cd Desktop` zum Desktop navigiert und dort mit `$ mkdir uebung5` ein neues Directory für die Übung 5 angelegt. Anschließend wird in dieses Directory mit `$ cd uebung5` gewechselt.
|
||||
|
||||
[25.05.2023 10:37:15 UTC+2]: Es wird mit `$ touch script.sh` eine leere Textdatei erzeugt und diese mit `$ nano script.sh` geöffnet. In dieser wird nun ein kurzes Shell-Skript geschrieben, mit dem ein Datenträger von 15MB erzeugt werden soll und anschließend mit dem Linux Filesystem formatiert werden soll.
|
||||
|
||||
[25.05.2023 10:53:28 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script.sh` genutzt. Anschließend wird das Skript mit `$ ./script.sh` ausgeführt. Dabei wird folgende Ausgabe generiert:
|
||||
```
|
||||
Erstelle Datentraeger...
|
||||
15+0 records in
|
||||
15+0 records out
|
||||
15728640 bytes (16 MB, 15 MiB) copied, 0.0126921 s, 1.2 GB/s
|
||||
Formatiere den Datentraeger...
|
||||
mke2fs 1.46.6 (1-Feb-2023)
|
||||
Discarding device blocks: done
|
||||
Creating filesystem with 15360 1k blocks and 3840 inodes
|
||||
Filesystem UUID: d986c975-168f-4573-bf70-580c2527e581
|
||||
Superblock backups stored on blocks:
|
||||
8193
|
||||
|
||||
Allocating group tables: done
|
||||
Writing inode tables: done
|
||||
Creating journal (1024 blocks): done
|
||||
Writing superblocks and filesystem accounting information: done
|
||||
```
|
||||
|
||||
[25.05.2023 10:58:16 UTC+2]: Es werden im Directory files, welches mit `$ mkdir files` erzeugt wurde, verschiedene Dateien gesammelt/erzeugt.
|
||||
Screenshot.png (Screenshot des Desktops)
|
||||
Hochschule.jpg (Bild des Hochhaus der Hochschule Mannheim)
|
||||
document.txt (Textdatei mit 118 Zeilen)
|
||||
video.mpeg (Bildschirmaufnahme)
|
||||
audio.mp3 (Audio der Bildschirmaufnahme)
|
||||
java_dummy.java (Hello World Programm)
|
||||
html_dummy.html (einfache html Seite)
|
||||
|
||||
|
||||
[25.05.2023 22:07:48 UTC+2]: Es wird mit `$ touch script2.sh` eine leere Textdatei erzeugt und diese mit `$ nano script2.sh` geöffnet. In dieser wird nun ein Shell-Skript geschrieben, um die Dateien in den Datenträger zu kopieren.
|
||||
|
||||
[25.05.2023 12:04:43 UTC+2]: Das Skript muss anschließend ausführbar gemacht werden. Hierfür wird `$ chmod +x script2.sh` genutzt. Anschließend wird das Skript mit `$ ./script2.sh` ausgeführt. Dabei wird folgender Output generiert:
|
||||
|
||||
```
|
||||
Datentraeger wird gemountet...
|
||||
Dateien werden kopiert...
|
||||
Mount des Datentraegers wird rückgaengig gemacht...
|
||||
```
|
||||
|
||||
[26.05.2023 09:22:05 UTC+2]: Um scalpel nutzen zu können, muss zunächst die scalpel.conf Datei angepasst werden. In der Datei müssen die Dateitypen angegeben werden, die gecarved werden sollen. Dazu wird mit `$ cd /etc/scalpel` in das scalpel Directory gewechselt und danach die Datei scalpel.conf mit `$ sudo nano scalpel.conf` geöffnet.
|
||||
|
||||
[26.05.2023 09:51:34 UTC+2]: Es wird mit `$ cd ~/Desktop/uebung5` zurück in das uebung5 Directory gewechselt. Anschließend wird der scalpel Befehl ausgeführt:
|
||||
`$ scalpel -o ./Scalpel-output ./datentraeger`
|
||||
Dabei wird folgender Output generiert:
|
||||
```
|
||||
Scalpel version 1.60
|
||||
Written by Golden G. Richard III, based on Foremost 0.69.
|
||||
|
||||
Opening target "/home/kali/Desktop/uebung5/datentraeger.dd"
|
||||
|
||||
Image file pass 1/2.
|
||||
datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAAllocating work queues...A
|
||||
Work queues allocation complete. Building carve lists...
|
||||
Carve lists built. Workload:
|
||||
jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x45\x78\x69\x66" and footer "\xff\xd9" --> 1 files
|
||||
jpg with header "\xff\xd8\xff\x3f\x3f\x3f\x4a\x46\x49\x46" and footer "\xff\xd9" --> 0 files
|
||||
png with header "\x50\x4e\x47\x3f" and footer "\xff\xfc\xfd\xfe" --> 1 files
|
||||
mpg with header "\x00\x00\x01\xba" and footer "\x00\x00\x01\xb9" --> 0 files
|
||||
mpg with header "\x00\x00\x01\xb3" and footer "\x00\x00\x01\xb7" --> 0 files
|
||||
mpeg with header "\x00\x00\x01\xba" and footer "\xff\xff\xff\xff\xff\xff\xff\xff" --> 101 files
|
||||
mp3 with header "\xff\xfb\x3f\x3f\x44\x00\x00" and footer "" --> 1 files
|
||||
mp3 with header "\x57\x41\x56\x5c\x34\x35" and footer "\x00\x00\xff\x5c" --> 0 files
|
||||
mp3 with header "\xff\xfb\xd0\x5c" and footer "\xd1\x35\x51\xcc\x5c" --> 0 files
|
||||
mp3 with header "\x49\x44\x33\x5c" and footer "" --> 0 files
|
||||
mp3 with header "\x4c\x41\x4d\x45\x5c" and footer "" --> 0 files
|
||||
htm with header "\x3c\x68\x74\x6d\x6c" and footer "\x3c\x2f\x68\x74\x6d\x6c\x3e" --> 1 files
|
||||
txt with header "\x2d\x2d\x2d\x2d\x2d\x42\x45\x47\x49\x4e\x20\x50\x47\x50" and footer "" --> 1 files
|
||||
java with header "\x70\x75\x62\x6c\x69\x63" and footer "" --> 2 files
|
||||
Carving files from image.
|
||||
Image file pass 2/2.
|
||||
datentraeger.dd: 100.0% |****************************************************************************************************************************************************************| 15.0 MB 00:00 ETAProcessing of image file complete. Cleaning up...
|
||||
Done.
|
||||
Scalpel is done, files carved = 108, elapsed = 0 seconds.
|
||||
```
|
||||
|
||||
[26.05.2023 13:06:26 UTC+2]: Es wird ein neues Directory foremost-output mit `$ mkdir foremost-output` angelegt. Anschließend wird der foremost Befehl (folgend) ausgeführt. Dabei wird das Configuration File von scalpel benutzt:
|
||||
`$ foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output`
|
||||
Folgender Output wird generiert:
|
||||
|
||||
```
|
||||
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
|
||||
Audit File
|
||||
|
||||
Foremost started at Fri May 26 07:06:26 2023
|
||||
Invocation: foremost -v -d -c /etc/scalpel/scalpel.conf -i datentraeger.dd -o foremost-output
|
||||
Output directory: /home/kali/Desktop/uebung5/foremost-output
|
||||
Configuration file: /etc/scalpel/scalpel.conf
|
||||
Processing: datentraeger.dd
|
||||
|------------------------------------------------------------------
|
||||
File: datentraeger.dd
|
||||
Start: Fri May 26 07:06:26 2023
|
||||
Length: 15 MB (15728640 bytes)
|
||||
|
||||
Num Name (bs=512) Size File Offset Comment
|
||||
|
||||
0: 00004248.png 1 MB 2174977
|
||||
1: 00024578.mpg 2 MB 12583936
|
||||
2: 00024830.mpg 2 MB 12712960
|
||||
3: 00024882.mpg 2 MB 12739584
|
||||
4: 00024886.mpg 2 MB 12741632
|
||||
5: 00024922.mpg 2 MB 12760064
|
||||
6: 00024926.mpg 2 MB 12762112
|
||||
7: 00024930.mpg 2 MB 12764160
|
||||
8: 00024934.mpg 2 MB 12766208
|
||||
9: 00024962.mpg 2 MB 12780544
|
||||
10: 00024966.mpg 2 MB 12782592
|
||||
11: 00024970.mpg 2 MB 12784640
|
||||
12: 00024974.mpg 2 MB 12786688
|
||||
13: 00025002.mpg 2 MB 12801024
|
||||
14: 00025006.mpg 2 MB 12803072
|
||||
15: 00025010.mpg 2 MB 12805120
|
||||
16: 00025014.mpg 2 MB 12807168
|
||||
17: 00025038.mpg 2 MB 12819456
|
||||
18: 00025042.mpg 2 MB 12821504
|
||||
19: 00025046.mpg 2 MB 12823552
|
||||
20: 00025050.mpg 2 MB 12825600
|
||||
21: 00025074.mpg 2 MB 12837888
|
||||
22: 00025078.mpg 2 MB 12839936
|
||||
23: 00025082.mpg 2 MB 12841984
|
||||
24: 00025086.mpg 2 MB 12844032
|
||||
25: 00025110.mpg 2 MB 12856320
|
||||
26: 00025114.mpg 2 MB 12858368
|
||||
27: 00025118.mpg 2 MB 12860416
|
||||
28: 00025122.mpg 2 MB 12862464
|
||||
29: 00025146.mpg 2 MB 12874752
|
||||
30: 00025150.mpg 2 MB 12876800
|
||||
31: 00025154.mpg 2 MB 12878848
|
||||
32: 00025158.mpg 2 MB 12880896
|
||||
33: 00025182.mpg 2 MB 12893184
|
||||
34: 00025186.mpg 2 MB 12895232
|
||||
35: 00025190.mpg 2 MB 12897280
|
||||
36: 00025218.mpg 2 MB 12911616
|
||||
37: 00025222.mpg 2 MB 12913664
|
||||
38: 00025226.mpg 2 MB 12915712
|
||||
39: 00025250.mpg 2 MB 12928000
|
||||
40: 00025254.mpg 2 MB 12930048
|
||||
41: 00025258.mpg 2 MB 12932096
|
||||
42: 00025286.mpg 2 MB 12946432
|
||||
43: 00025290.mpg 2 MB 12948480
|
||||
44: 00025294.mpg 2 MB 12950528
|
||||
45: 00025318.mpg 2 MB 12962816
|
||||
46: 00025322.mpg 2 MB 12964864
|
||||
47: 00025326.mpg 2 MB 12966912
|
||||
48: 00025350.mpg 2 MB 12979200
|
||||
49: 00025354.mpg 2 MB 12981248
|
||||
50: 00025358.mpg 2 MB 12983296
|
||||
51: 00025382.mpg 2 MB 12995584
|
||||
52: 00025386.mpg 2 MB 12997632
|
||||
53: 00025390.mpg 2 MB 12999680
|
||||
54: 00025414.mpg 2 MB 13011968
|
||||
55: 00025418.mpg 2 MB 13014016
|
||||
56: 00025422.mpg 2 MB 13016064
|
||||
57: 00025446.mpg 2 MB 13028352
|
||||
58: 00025450.mpg 2 MB 13030400
|
||||
59: 00025454.mpg 2 MB 13032448
|
||||
60: 00025478.mpg 2 MB 13044736
|
||||
61: 00025482.mpg 2 MB 13046784
|
||||
62: 00025486.mpg 2 MB 13048832
|
||||
63: 00025510.mpg 2 MB 13061120
|
||||
64: 00025514.mpg 2 MB 13063168
|
||||
65: 00025518.mpg 2 MB 13065216
|
||||
66: 00025542.mpg 2 MB 13077504
|
||||
67: 00025546.mpg 2 MB 13079552
|
||||
68: 00025550.mpg 2 MB 13081600
|
||||
69: 00025574.mpg 2 MB 13093888
|
||||
70: 00025578.mpg 2 MB 13095936
|
||||
71: 00025582.mpg 2 MB 13097984
|
||||
72: 00025606.mpg 2 MB 13110272
|
||||
73: 00025610.mpg 2 MB 13112320
|
||||
74: 00025634.mpg 2 MB 13124608
|
||||
75: 00025638.mpg 2 MB 13126656
|
||||
76: 00025642.mpg 2 MB 13128704
|
||||
77: 00025666.mpg 2 MB 13140992
|
||||
78: 00025670.mpg 2 MB 13143040
|
||||
79: 00025674.mpg 2 MB 13145088
|
||||
80: 00025698.mpg 2 MB 13157376
|
||||
81: 00025702.mpg 2 MB 13159424
|
||||
82: 00025706.mpg 2 MB 13161472
|
||||
83: 00025730.mpg 2 MB 13173760
|
||||
84: 00025734.mpg 2 MB 13175808
|
||||
85: 00025758.mpg 2 MB 13188096
|
||||
86: 00025762.mpg 2 MB 13190144
|
||||
87: 00025766.mpg 2 MB 13192192
|
||||
88: 00025770.mpg 2 MB 13194240
|
||||
89: 00025790.mpg 2 MB 13204480
|
||||
90: 00025794.mpg 2 MB 13206528
|
||||
91: 00025798.mpg 2 MB 13208576
|
||||
92: 00025822.mpg 2 MB 13220864
|
||||
93: 00025826.mpg 2 MB 13222912
|
||||
94: 00025830.mpg 2 MB 13224960
|
||||
95: 00025850.mpg 2 MB 13235200
|
||||
96: 00025854.mpg 2 MB 13237248
|
||||
97: 00025858.mpg 2 MB 13239296
|
||||
98: 00025882.mpg 2 MB 13251584
|
||||
99: 00025886.mpg 2 MB 13253632
|
||||
100: 00025910.mpg 2 MB 13265920
|
||||
101: 00025914.mpg 2 MB 13267968
|
||||
102: 00021595.mpg 4 MB 11056966
|
||||
103: 00024578_1.mpg 2 MB 12583979
|
||||
104: 00024836.mpg 2 MB 12716501
|
||||
105: 00024885.mpg 2 MB 12741343
|
||||
106: 00024932.mpg 2 MB 12765188
|
||||
107: 00024972.mpg 2 MB 12785792
|
||||
108: 00025010_1.mpg 2 MB 12805389
|
||||
109: 00025048.mpg 2 MB 12824642
|
||||
110: 00025083.mpg 2 MB 12842811
|
||||
111: 00025119.mpg 2 MB 12860990
|
||||
112: 00025154_1.mpg 2 MB 12879065
|
||||
113: 00025189.mpg 2 MB 12896853
|
||||
114: 00025224.mpg 2 MB 12914716
|
||||
115: 00025257.mpg 2 MB 12931902
|
||||
116: 00025290_1.mpg 2 MB 12948739
|
||||
117: 00025323.mpg 2 MB 12965501
|
||||
118: 00025355.mpg 2 MB 12981937
|
||||
119: 00025387.mpg 2 MB 12998437
|
||||
120: 00025419.mpg 2 MB 13015023
|
||||
121: 00025451.mpg 2 MB 13031140
|
||||
122: 00025483.mpg 2 MB 13047461
|
||||
123: 00025515.mpg 2 MB 13063842
|
||||
124: 00025547.mpg 2 MB 13080356
|
||||
125: 00025578_1.mpg 2 MB 13096398
|
||||
126: 00025609.mpg 2 MB 13111919
|
||||
127: 00025640.mpg 2 MB 13127739
|
||||
128: 00025671.mpg 2 MB 13143750
|
||||
129: 00025702_1.mpg 2 MB 13159887
|
||||
130: 00025733.mpg 2 MB 13175701
|
||||
131: 00025766_1.mpg 2 MB 13192265
|
||||
132: 00025796.mpg 2 MB 13207905
|
||||
133: 00025826_1.mpg 2 MB 13223225
|
||||
134: 00025856.mpg 2 MB 13238676
|
||||
135: 00025885.mpg 2 MB 13253231
|
||||
136: 00025912.mpg 2 MB 13267158
|
||||
137: 00024578.mpeg 679 KB 12583936
|
||||
138: 00024830.mpeg 553 KB 12712960
|
||||
139: 00024882.mpeg 527 KB 12739584
|
||||
140: 00024886.mpeg 525 KB 12741632
|
||||
141: 00024922.mpeg 507 KB 12760064
|
||||
142: 00024926.mpeg 505 KB 12762112
|
||||
143: 00024930.mpeg 503 KB 12764160
|
||||
144: 00024934.mpeg 501 KB 12766208
|
||||
145: 00024962.mpeg 487 KB 12780544
|
||||
146: 00024966.mpeg 485 KB 12782592
|
||||
147: 00024970.mpeg 483 KB 12784640
|
||||
148: 00024974.mpeg 481 KB 12786688
|
||||
149: 00025002.mpeg 467 KB 12801024
|
||||
150: 00025006.mpeg 465 KB 12803072
|
||||
151: 00025010.mpeg 463 KB 12805120
|
||||
152: 00025014.mpeg 461 KB 12807168
|
||||
153: 00025038.mpeg 449 KB 12819456
|
||||
154: 00025042.mpeg 447 KB 12821504
|
||||
155: 00025046.mpeg 445 KB 12823552
|
||||
156: 00025050.mpeg 443 KB 12825600
|
||||
157: 00025074.mpeg 431 KB 12837888
|
||||
158: 00025078.mpeg 429 KB 12839936
|
||||
159: 00025082.mpeg 427 KB 12841984
|
||||
160: 00025086.mpeg 425 KB 12844032
|
||||
161: 00025110.mpeg 413 KB 12856320
|
||||
162: 00025114.mpeg 411 KB 12858368
|
||||
163: 00025118.mpeg 409 KB 12860416
|
||||
164: 00025122.mpeg 407 KB 12862464
|
||||
165: 00025146.mpeg 395 KB 12874752
|
||||
166: 00025150.mpeg 393 KB 12876800
|
||||
167: 00025154.mpeg 391 KB 12878848
|
||||
168: 00025158.mpeg 389 KB 12880896
|
||||
169: 00025182.mpeg 377 KB 12893184
|
||||
170: 00025186.mpeg 375 KB 12895232
|
||||
171: 00025190.mpeg 373 KB 12897280
|
||||
172: 00025218.mpeg 359 KB 12911616
|
||||
173: 00025222.mpeg 357 KB 12913664
|
||||
174: 00025226.mpeg 355 KB 12915712
|
||||
175: 00025250.mpeg 343 KB 12928000
|
||||
176: 00025254.mpeg 341 KB 12930048
|
||||
177: 00025258.mpeg 339 KB 12932096
|
||||
178: 00025286.mpeg 325 KB 12946432
|
||||
179: 00025290.mpeg 323 KB 12948480
|
||||
180: 00025294.mpeg 321 KB 12950528
|
||||
181: 00025318.mpeg 309 KB 12962816
|
||||
182: 00025322.mpeg 307 KB 12964864
|
||||
183: 00025326.mpeg 305 KB 12966912
|
||||
184: 00025350.mpeg 293 KB 12979200
|
||||
185: 00025354.mpeg 291 KB 12981248
|
||||
186: 00025358.mpeg 289 KB 12983296
|
||||
187: 00025382.mpeg 277 KB 12995584
|
||||
188: 00025386.mpeg 275 KB 12997632
|
||||
189: 00025390.mpeg 273 KB 12999680
|
||||
190: 00025414.mpeg 261 KB 13011968
|
||||
191: 00025418.mpeg 259 KB 13014016
|
||||
192: 00025422.mpeg 257 KB 13016064
|
||||
193: 00025446.mpeg 245 KB 13028352
|
||||
194: 00025450.mpeg 243 KB 13030400
|
||||
195: 00025454.mpeg 241 KB 13032448
|
||||
196: 00025478.mpeg 229 KB 13044736
|
||||
197: 00025482.mpeg 227 KB 13046784
|
||||
198: 00025486.mpeg 225 KB 13048832
|
||||
199: 00025510.mpeg 213 KB 13061120
|
||||
200: 00025514.mpeg 211 KB 13063168
|
||||
201: 00025518.mpeg 209 KB 13065216
|
||||
202: 00025542.mpeg 197 KB 13077504
|
||||
203: 00025546.mpeg 195 KB 13079552
|
||||
204: 00025550.mpeg 193 KB 13081600
|
||||
205: 00025574.mpeg 181 KB 13093888
|
||||
206: 00025578.mpeg 179 KB 13095936
|
||||
207: 00025582.mpeg 177 KB 13097984
|
||||
208: 00025606.mpeg 165 KB 13110272
|
||||
209: 00025610.mpeg 163 KB 13112320
|
||||
210: 00025634.mpeg 151 KB 13124608
|
||||
211: 00025638.mpeg 149 KB 13126656
|
||||
212: 00025642.mpeg 147 KB 13128704
|
||||
213: 00025666.mpeg 135 KB 13140992
|
||||
214: 00025670.mpeg 133 KB 13143040
|
||||
215: 00025674.mpeg 131 KB 13145088
|
||||
216: 00025698.mpeg 119 KB 13157376
|
||||
217: 00025702.mpeg 117 KB 13159424
|
||||
218: 00025706.mpeg 115 KB 13161472
|
||||
219: 00025730.mpeg 103 KB 13173760
|
||||
220: 00025734.mpeg 101 KB 13175808
|
||||
221: 00025758.mpeg 89 KB 13188096
|
||||
222: 00025762.mpeg 87 KB 13190144
|
||||
223: 00025766.mpeg 85 KB 13192192
|
||||
224: 00025770.mpeg 83 KB 13194240
|
||||
225: 00025790.mpeg 73 KB 13204480
|
||||
226: 00025794.mpeg 71 KB 13206528
|
||||
227: 00025798.mpeg 69 KB 13208576
|
||||
228: 00025822.mpeg 57 KB 13220864
|
||||
229: 00025826.mpeg 55 KB 13222912
|
||||
230: 00025830.mpeg 53 KB 13224960
|
||||
231: 00025850.mpeg 43 KB 13235200
|
||||
232: 00025854.mpeg 41 KB 13237248
|
||||
233: 00025858.mpeg 39 KB 13239296
|
||||
234: 00025882.mpeg 27 KB 13251584
|
||||
235: 00025886.mpeg 25 KB 13253632
|
||||
236: 00025910.mpeg 13 KB 13265920
|
||||
237: 00025914.mpeg 11 KB 13267968
|
||||
238: 00020482.mp3 4 MB 10486784
|
||||
239: 00017416.htm 84 B 8917008
|
||||
240: 00017410.txt 97 KB 8913920
|
||||
241: 00017418.java 976 KB 8918016
|
||||
242: 00017418_1.java 976 KB 8918038
|
||||
*|
|
||||
Finish: Fri May 26 07:06:28 2023
|
||||
|
||||
243 FILES EXTRACTED
|
||||
|
||||
png:= 1
|
||||
mpg:= 101
|
||||
mpg:= 35
|
||||
mpeg:= 101
|
||||
mp3:= 1
|
||||
htm:= 1
|
||||
txt:= 1
|
||||
java:= 2
|
||||
------------------------------------------------------------------
|
||||
|
||||
Foremost finished at Fri May 26 07:06:28 2023
|
||||
|
||||
```
|
||||
|
||||
Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Scalpel findet die jpg Datei, Foremost jedoch nicht. Foremost findet noch weitere mpg/mpeg Dateien, die von Scalpel nicht gefunden werden. Beide Carving Tools finden statt einer Java Datei zwei Java Dateien und mehr mpeg/mpg Dateien als eigentlich vorhanden. Dies lässt sich jedoch durch eventuelle “False Positives” erklären.
|
||||
|
||||
|
||||
|
||||
ZWEITER VERSUCH FOREMOST
|
||||
|
||||
[26.05.2023 13:51:03 UTC+2]: Es wird eine Config-Datei für Foremost angelegt im uebung5 Directory. Anschließend wird der foremost Befehl ausgeführt:
|
||||
`$ foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output`
|
||||
Dabei wird folgender Output generiert:
|
||||
|
||||
```
|
||||
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
|
||||
Audit File
|
||||
|
||||
Foremost started at Fri May 26 07:51:49 2023
|
||||
Invocation: foremost -v -d -c ./foremost.conf -i datentraeger.dd -o foremost-output
|
||||
Output directory: /home/kali/Desktop/uebung5/foremost-output
|
||||
Configuration file: /home/kali/Desktop/uebung5/foremost.conf
|
||||
Processing: ./foremost.conf
|
||||
|------------------------------------------------------------------
|
||||
File: ./foremost.conf
|
||||
Start: Fri May 26 07:51:49 2023
|
||||
Length: 485 B (485 bytes)
|
||||
|
||||
Num Name (bs=512) Size File Offset Comment
|
||||
|
||||
0: 00000000.html 41 B 157
|
||||
1: 00000000.java 12 B 227
|
||||
2: 00000000.mp3 41 B 297
|
||||
*|
|
||||
Finish: Fri May 26 07:51:49 2023
|
||||
Processing: datentraeger.dd
|
||||
|------------------------------------------------------------------
|
||||
File: datentraeger.dd
|
||||
Start: Fri May 26 07:51:49 2023
|
||||
Length: 15 MB (15728640 bytes)
|
||||
|
||||
Num Name (bs=512) Size File Offset Comment
|
||||
|
||||
3: 00004248.png 459 B 2174976
|
||||
4: 00005745.jpg 24 B 2941542
|
||||
5: 00018434.jpg 237 B 9438208
|
||||
6: 00017416.html 97 KB 8917085
|
||||
7: 00017418.java 12 B 8918016
|
||||
8: 00017418_1.java 97 KB 8918038
|
||||
9: 00004625.mp3 263 B 2368471
|
||||
10: 00024578.mpeg 76 B 12583936
|
||||
11: 00024830.mpeg 762 B 12712960
|
||||
12: 00024882.mpeg 166 B 12739584
|
||||
13: 00024886.mpeg 291 B 12741632
|
||||
14: 00024922.mpeg 436 B 12760064
|
||||
15: 00024926.mpeg 473 B 12762112
|
||||
16: 00024930.mpeg 609 B 12764160
|
||||
17: 00024934.mpeg 306 B 12766208
|
||||
18: 00024962.mpeg 385 B 12780544
|
||||
19: 00024966.mpeg 322 B 12782592
|
||||
20: 00024970.mpeg 68 B 12784640
|
||||
21: 00024974.mpeg 677 B 12786688
|
||||
22: 00025002.mpeg 545 B 12801024
|
||||
23: 00025006.mpeg 109 B 12803072
|
||||
24: 00025010.mpeg 242 B 12805120
|
||||
25: 00025014.mpeg 66 B 12807168
|
||||
26: 00025038.mpeg 265 B 12819456
|
||||
27: 00025042.mpeg 356 B 12821504
|
||||
28: 00025046.mpeg 573 B 12823552
|
||||
29: 00025050.mpeg 8 B 12825600
|
||||
30: 00025074.mpeg 23 B 12837888
|
||||
31: 00025078.mpeg 332 B 12839936
|
||||
32: 00025082.mpeg 1 KB 12841984
|
||||
33: 00025086.mpeg 298 B 12844032
|
||||
34: 00025110.mpeg 306 B 12856320
|
||||
35: 00025114.mpeg 387 B 12858368
|
||||
36: 00025118.mpeg 275 B 12860416
|
||||
37: 00025122.mpeg 44 B 12862464
|
||||
38: 00025146.mpeg 1 KB 12874752
|
||||
39: 00025150.mpeg 1 KB 12876800
|
||||
40: 00025154.mpeg 651 B 12878848
|
||||
41: 00025158.mpeg 9 B 12880896
|
||||
42: 00025182.mpeg 194 B 12893184
|
||||
43: 00025186.mpeg 269 B 12895232
|
||||
44: 00025190.mpeg 173 B 12897280
|
||||
45: 00025218.mpeg 175 B 12911616
|
||||
46: 00025222.mpeg 104 B 12913664
|
||||
47: 00025226.mpeg 94 B 12915712
|
||||
48: 00025250.mpeg 400 B 12928000
|
||||
49: 00025254.mpeg 674 B 12930048
|
||||
50: 00025258.mpeg 243 B 12932096
|
||||
51: 00025286.mpeg 89 B 12946432
|
||||
52: 00025290.mpeg 606 B 12948480
|
||||
53: 00025294.mpeg 79 B 12950528
|
||||
54: 00025318.mpeg 154 B 12962816
|
||||
55: 00025322.mpeg 127 B 12964864
|
||||
56: 00025326.mpeg 182 B 12966912
|
||||
57: 00025350.mpeg 21 B 12979200
|
||||
58: 00025354.mpeg 21 B 12981248
|
||||
59: 00025358.mpeg 138 B 12983296
|
||||
60: 00025382.mpeg 172 B 12995584
|
||||
61: 00025386.mpeg 124 B 12997632
|
||||
62: 00025390.mpeg 7 B 12999680
|
||||
63: 00025414.mpeg 7 B 13011968
|
||||
64: 00025418.mpeg 7 B 13014016
|
||||
65: 00025422.mpeg 86 B 13016064
|
||||
66: 00025446.mpeg 774 B 13028352
|
||||
67: 00025450.mpeg 166 B 13030400
|
||||
68: 00025454.mpeg 291 B 13032448
|
||||
69: 00025478.mpeg 203 B 13044736
|
||||
70: 00025482.mpeg 394 B 13046784
|
||||
71: 00025486.mpeg 225 B 13048832
|
||||
72: 00025510.mpeg 249 B 13061120
|
||||
73: 00025514.mpeg 842 B 13063168
|
||||
74: 00025518.mpeg 134 B 13065216
|
||||
75: 00025542.mpeg 283 B 13077504
|
||||
76: 00025546.mpeg 181 B 13079552
|
||||
77: 00025550.mpeg 93 B 13081600
|
||||
78: 00025574.mpeg 671 B 13093888
|
||||
79: 00025578.mpeg 32 B 13095936
|
||||
80: 00025582.mpeg 52 B 13097984
|
||||
81: 00025606.mpeg 36 B 13110272
|
||||
82: 00025610.mpeg 376 B 13112320
|
||||
83: 00025634.mpeg 908 B 13124608
|
||||
84: 00025638.mpeg 152 B 13126656
|
||||
85: 00025642.mpeg 225 B 13128704
|
||||
86: 00025666.mpeg 285 B 13140992
|
||||
87: 00025670.mpeg 367 B 13143040
|
||||
88: 00025674.mpeg 155 B 13145088
|
||||
89: 00025698.mpeg 743 B 13157376
|
||||
90: 00025702.mpeg 193 B 13159424
|
||||
91: 00025706.mpeg 166 B 13161472
|
||||
92: 00025730.mpeg 149 B 13173760
|
||||
93: 00025734.mpeg 344 B 13175808
|
||||
94: 00025758.mpeg 65 B 13188096
|
||||
95: 00025762.mpeg 193 B 13190144
|
||||
96: 00025766.mpeg 215 B 13192192
|
||||
97: 00025770.mpeg 209 B 13194240
|
||||
98: 00025790.mpeg 493 B 13204480
|
||||
99: 00025794.mpeg 504 B 13206528
|
||||
100: 00025798.mpeg 67 B 13208576
|
||||
101: 00025822.mpeg 29 B 13220864
|
||||
102: 00025826.mpeg 116 B 13222912
|
||||
103: 00025830.mpeg 473 B 13224960
|
||||
104: 00025850.mpeg 312 B 13235200
|
||||
105: 00025854.mpeg 192 B 13237248
|
||||
106: 00025858.mpeg 112 B 13239296
|
||||
107: 00025882.mpeg 157 B 13251584
|
||||
108: 00025886.mpeg 483 B 13253632
|
||||
109: 00025910.mpeg 1 KB 13265920
|
||||
110: 00025914.mpeg 359 B 13267968
|
||||
111: 00002172.txt 12 KB 1112069 (IND BLK bs:=512)
|
||||
112: 00002174.txt 11 KB 1113093 (IND BLK bs:=512)
|
||||
113: 00002212.txt 1 KB 1132549
|
||||
114: 00018434.txt 58 B 9438387
|
||||
115: 00018434_1.txt 48 B 9438513
|
||||
116: 00018434_2.txt 19 B 9438542
|
||||
*|
|
||||
Finish: Fri May 26 07:51:49 2023
|
||||
|
||||
117 FILES EXTRACTED
|
||||
|
||||
png:= 1
|
||||
jpg:= 2
|
||||
html:= 2
|
||||
java:= 3
|
||||
mp3:= 2
|
||||
mpeg:= 101
|
||||
txt:= 6
|
||||
------------------------------------------------------------------
|
||||
|
||||
Foremost finished at Fri May 26 07:51:49 2023
|
||||
```
|
||||
|
||||
Die beiden Ergebnisse beider Carving Tools unterscheiden sich. Foremost findet von allen Dateien außer png mehr als die eine Datei, während das bei scalpel nur bei java und mpg/mpeg der Fall ist. Diese Anhäufung von Dateien kann durch “false positives” entstehen.
|
Loading…
Reference in New Issue