59 lines
3.1 KiB
Markdown
59 lines
3.1 KiB
Markdown
Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
|
|
|
|
___
|
|
|
|
**[14.04.2023 17:15:25 UTC+2]**: Es wurde ein Terminal geöffnet und mithilfe des folgenden Commands in das Download-Verzeichnis gewechselt:
|
|
$ cd Download
|
|
|
|
**[14.04.2023 17:19:32 UTC+2]**: Es wird in das neue Verzeichnis gewechselt und ein neues Verzeichnis “U3-mnt” angelegt mit den folgenden Commands.
|
|
$ cd mnt
|
|
$ mkdir U3-mnt
|
|
Anschließend wird mit dem folgenden Command zurück in das Download-Verzeichnis gewechselt.
|
|
$ cd ..
|
|
|
|
**[14.04.2023 17:21:29 UTC+2]**: Die Image-Datei wird als Read-Only Mount Point mit dem folgenden Command gemountet.
|
|
$ sudo mount -t auto -o ro U2.img ./mnt/U3-mnt
|
|
|
|
**[14.04.2023 17:53:03 UTC+2]**: Mit Hilfe des Tools dd (disk dump) werden die Dateien aus dem gemounteten Image Byte-für-Byte kopiert
|
|
$ dd if=./mnt/U3-mnt/RecoverMe01 of=Recovered01
|
|
3086+1 records in
|
|
3086+1 records out
|
|
1580424 bytes (1.6 MB, 1.5 MiB) copied, 0.0354694 s, 44.6 MB/s
|
|
$ dd if=./mnt/U3-mnt/RecoverMe02 of=Recovered02
|
|
35+1 records in
|
|
35+1 records out
|
|
18176 bytes (18 kB, 18 KiB) copied, 0.00117371 s, 15.5 MB/s
|
|
|
|
**[14.04.2023 17:55:23 UTC+2]**: Es wird versucht die Dateien zu öffnen, jedoch passiert nichts.
|
|
$ open Recovered01
|
|
$ open Recovered02
|
|
|
|
**[14.04.2023 17:59:59 UTC+2]**: Die Datei Recovered01 wird mit dem hexeditor Version 0.9.7 geöffnet:
|
|
$ hexeditor Recovered01
|
|
|
|
Aufgrund der zu erkennenden Daten in der Hex-Datei (“Canon”, “Adobe Photoshop”), kann davon ausgegangen werden, dass es sich bei “Recovered01” um eine Bilddatei handelt:
|
|
cr2 Canon RAW Format 49 49 2A 00 10 00 00 00 \n 43 52
|
|
psd Photoshop Document File 38 42 50 53
|
|
png Portable Network Graphics 89 50 4E 47 0D 0A 1A 0A
|
|
jpg Joint Photographic Experts Group FF D8 FF E0
|
|
Quelle: https://en.wikipedia.org/wiki/List_of_file_signatures
|
|
[14.04.2023 18:24:17 UTC+2]: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
|
|
|
|
0F D8 FF E1 27 4F 45 78 -> FF D8 FF E1 27 4F 45 78
|
|
|
|
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist ein Bild des Hochhauses:
|
|
$ open Recovered01
|
|
|
|
**[14.04.2023 18:27: UTC+2]**: Die Datei Recovered02 wird analog zu Recovered01 mit dem hexeditor Version 0.9.7 geöffnet:
|
|
$ hexeditor Recovered02
|
|
|
|
Aufgrund der zu erkennenden Daten in der Hex-Datei (“.PNw”), kann davon ausgegangen werden, dass es sich bei “Recovered02” um eine Bilddatei und speziell um eine PNG-Datei handelt:
|
|
png Portable Network Graphics 89 50 4E 47 0D 0A 1A 0A
|
|
|
|
**[14.04.2023 18:31:01: UTC+2]**: Es wird versucht, die erste Ziffer der Datei im Hexeditor so anzupassen, dass sich daraus die Magic Number für das Dateiformat “jpg” ergibt
|
|
|
|
89 50 4E 77 0D 0A 1A 0A -> 89 50 4E 47 0D 0A 1A 0A
|
|
|
|
Die Datei wird ohne Probleme gespeichert. Die Datei wird mit dem folgenden Command geöffnet und zu sehen ist das Logo der Hochschule Mannheim:
|
|
$ open Recovered02
|