3.1 KiB
Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
[14.04.2023 17:15:25 UTC+2]: Es wurde ein Terminal geöffnet und mithilfe des folgenden Commands in das Download-Verzeichnis gewechselt: $ cd Download
[14.04.2023 17:19:32 UTC+2]: Es wird in das neue Verzeichnis gewechselt und ein neues Verzeichnis “U3-mnt” angelegt mit den folgenden Commands. $ cd mnt $ mkdir U3-mnt Anschließend wird mit dem folgenden Command zurück in das Download-Verzeichnis gewechselt. $ cd ..
[14.04.2023 17:21:29 UTC+2]: Die Image-Datei wird als Read-Only Mount Point mit dem folgenden Command gemountet. $ sudo mount -t auto -o ro U2.img ./mnt/U3-mnt
[14.04.2023 17:53:03 UTC+2]: Mit Hilfe des Tools dd (disk dump) werden die Dateien aus dem gemounteten Image Byte-für-Byte kopiert $ dd if=./mnt/U3-mnt/RecoverMe01 of=Recovered01 3086+1 records in 3086+1 records out 1580424 bytes (1.6 MB, 1.5 MiB) copied, 0.0354694 s, 44.6 MB/s $ dd if=./mnt/U3-mnt/RecoverMe02 of=Recovered02 35+1 records in 35+1 records out 18176 bytes (18 kB, 18 KiB) copied, 0.00117371 s, 15.5 MB/s
[14.04.2023 17:55:23 UTC+2]: Es wird versucht die Dateien zu öffnen, jedoch passiert nichts. $ open Recovered01 $ open Recovered02
[14.04.2023 17:59:59 UTC+2]: Die Datei Recovered01 wird mit dem hexeditor Version 0.9.7 geöffnet: $ hexeditor Recovered01
Aufgrund der zu erkennenden Daten in der Hex-Datei (“Canon”, “Adobe Photoshop”), kann davon ausgegangen werden, dass es sich bei “Recovered01” um eine Bilddatei handelt: cr2 Canon RAW Format 49 49 2A 00 10 00 00 00 \n 43 52 psd Photoshop Document File 38 42 50 53 png Portable Network Graphics 89 50 4E 47 0D 0A 1A 0A jpg Joint Photographic Experts Group FF D8 FF E0 Quelle: https://en.wikipedia.org/wiki/List_of_file_signatures [14.04.2023 18:24:17 UTC+2]: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
0F D8 FF E1 27 4F 45 78 -> FF D8 FF E1 27 4F 45 78
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist ein Bild des Hochhauses: $ open Recovered01
[14.04.2023 18:27: UTC+2]: Die Datei Recovered02 wird analog zu Recovered01 mit dem hexeditor Version 0.9.7 geöffnet: $ hexeditor Recovered02
Aufgrund der zu erkennenden Daten in der Hex-Datei (“.PNw”), kann davon ausgegangen werden, dass es sich bei “Recovered02” um eine Bilddatei und speziell um eine PNG-Datei handelt: png Portable Network Graphics 89 50 4E 47 0D 0A 1A 0A
[14.04.2023 18:31:01: UTC+2]: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
89 50 4E 77 0D 0A 1A 0A -> 89 50 4E 47 0D 0A 1A 0A
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist das Logo der Hochschule Mannheim: $ open Recovered02