1924323
/
dif_gruppe_m
2
1
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

„uebung4/logbuch_a1.md“ hinzufügen

main
Victoria Sluschny 2023-06-01 18:00:31 +02:00
parent 4390c28b50
commit 5944a0a807
1 changed files with 39 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

39
uebung4/logbuch_a1.md 100644
View File

@ -0,0 +1,39 @@
## 1.2) Notieren Sie stichpunktartig die Unterschiede zwischen den Tools in Aufgabe 1.1)
dd: Grundlegende Funktionen zum Klonen von Datenträgern
dc3dd: so wie dd aber zusätzliche Funktionen wie Hash-Berechnung, Fortschrittsanzeigen und Unterstützung für mehrere Datenträger
dcfldd:
weitere Erweiterung wie Hashing on-the-fly (Hashing der Eingabedaten während der Übertragung, um die Datenintegrität zu gewährleisten)
Möglichkeit Datenträger zu zerstreuen (sparse imaging)
SquashFS:
- Dateisystem, das zum Erstellen von komprimierten, schreibgeschützten Dateisystemen verwendet wird
- Linux-Betriebssystem-Images und andere Anwendungen komprimieren und archivieren
- Arbeitet (im Gegensatz zu den anderen) auf Dateiebene und nicht auf Blockebene
- Unterstützt Funktionen wie Deduplizierung und Verschlüsselung
## 1.3) Was bewirkt die Option conv=noerror bei dd und geben Sie an, ob der Einsatz dieser Option für die Erstellung forensischer Abbilder sinnvoll ist (Begründen Sie Ihre Antwort).
- Befehl dd setzt den Kopiervorgang fort, auch wenn Fehler (z. B. wenn es auf fehlerhafte Sektoren auf der Quellfestplatte stößt) auftreten
normalerweise nicht sinnvoll:
- Kopiervorgang soll exakt und fehlerfrei erfolgen → alle Daten (einschließlich gelöschter oder versteckter) sollen erhalten bleiben
wenn dd auf Fehler stößt und fortgesetzt wird, könnten manche Dateien nicht korrekt kopiert werden → erschwert forensische Analyse
## 1.4) Was bewirkt die Option conv=sync in dd und geben Sie an, ob der Einsatz dieser Option für die Erstellung forensischer Abbilder sinnvoll ist (Begründen Sie Ihre Antwort).
- füllt partielle Eingabeblöcke mit Null-Bytes auf, bevor sie in die Ausgabe geschrieben werden
- es wird sichergestellt, dass die Ausgabedatei korrekt ausgerichtet ist und eine ganzzahlige Anzahl von Blöcken enthält
- Beibehaltung der ursprünglichen Datenausrichtung
sinnvoll:
- Kopiervorgang sorgt für ein konsistentes Ergebnis
- Sicherstellen, dass die Kopie korrekt ist
## 1.5) Wie geht dc3dd standardmäßig mit fehlerhaften Sektoren um?
Lesefehler:
- Sektor erneut lesen (bis zu einer bestimmten Anzahl von Wiederholungen oder bis Sektor erfolgreich gelesen wird)
- Warnhinweis, falls Sektor nicht richtig gelesen werden kann (Vorgang wird fortgesetzt)
Schreibfehler:
- überschreibt Zielmedium entsprechenden Sektor mit Daten (keine Wiederholungen oder Anwendung von Fehlerkorrektur-Mechanismen)