## 1.2) Notieren Sie stichpunktartig die Unterschiede zwischen den Tools in Aufgabe 1.1) dd: Grundlegende Funktionen zum Klonen von Datenträgern dc3dd: so wie dd aber zusätzliche Funktionen wie Hash-Berechnung, Fortschrittsanzeigen und Unterstützung für mehrere Datenträger dcfldd: weitere Erweiterung wie Hashing on-the-fly (Hashing der Eingabedaten während der Übertragung, um die Datenintegrität zu gewährleisten) Möglichkeit Datenträger zu zerstreuen (sparse imaging) SquashFS: - Dateisystem, das zum Erstellen von komprimierten, schreibgeschützten Dateisystemen verwendet wird - Linux-Betriebssystem-Images und andere Anwendungen komprimieren und archivieren - Arbeitet (im Gegensatz zu den anderen) auf Dateiebene und nicht auf Blockebene - Unterstützt Funktionen wie Deduplizierung und Verschlüsselung ## 1.3) Was bewirkt die Option conv=noerror bei dd und geben Sie an, ob der Einsatz dieser Option für die Erstellung forensischer Abbilder sinnvoll ist (Begründen Sie Ihre Antwort). - Befehl dd setzt den Kopiervorgang fort, auch wenn Fehler (z. B. wenn es auf fehlerhafte Sektoren auf der Quellfestplatte stößt) auftreten normalerweise nicht sinnvoll: - Kopiervorgang soll exakt und fehlerfrei erfolgen → alle Daten (einschließlich gelöschter oder versteckter) sollen erhalten bleiben wenn dd auf Fehler stößt und fortgesetzt wird, könnten manche Dateien nicht korrekt kopiert werden → erschwert forensische Analyse ## 1.4) Was bewirkt die Option conv=sync in dd und geben Sie an, ob der Einsatz dieser Option für die Erstellung forensischer Abbilder sinnvoll ist (Begründen Sie Ihre Antwort). - füllt partielle Eingabeblöcke mit Null-Bytes auf, bevor sie in die Ausgabe geschrieben werden - es wird sichergestellt, dass die Ausgabedatei korrekt ausgerichtet ist und eine ganzzahlige Anzahl von Blöcken enthält - Beibehaltung der ursprünglichen Datenausrichtung sinnvoll: - Kopiervorgang sorgt für ein konsistentes Ergebnis - Sicherstellen, dass die Kopie korrekt ist ## 1.5) Wie geht dc3dd standardmäßig mit fehlerhaften Sektoren um? Lesefehler: - Sektor erneut lesen (bis zu einer bestimmten Anzahl von Wiederholungen oder bis Sektor erfolgreich gelesen wird) - Warnhinweis, falls Sektor nicht richtig gelesen werden kann (Vorgang wird fortgesetzt) Schreibfehler: - überschreibt Zielmedium entsprechenden Sektor mit Daten (keine Wiederholungen oder Anwendung von Fehlerkorrektur-Mechanismen)