288 lines
11 KiB
Markdown
288 lines
11 KiB
Markdown
Für die folgende Untersuchung wird eine virtuelle Maschine (im Folgenden als VM bezeichnet) mit Kali-Linux Version 2023.1 genutzt. Die in der Untersuchung genutzten Tools sind bereits in Kali-Linux vorinstalliert, weshalb keine zusätzliche Installation notwendig ist.
|
|
|
|
|
|
[11.05.2023 19:13:25 UTC+2]: Die Zip-Datei wurde in der VM heruntergeladen. Anschließend wird ein Terminal geöffnet und mit $ cd Downloads in das Download-Verzeichnis gewechselt.
|
|
|
|
[11.05.2023 19:19:02 UTC+2]: Es wird versucht die Datei mit Hilfe von 7-Zip zu entpacken:
|
|
`$ 7z e vUSB(1).zip`
|
|
Dabei wird folgender Output generiert:
|
|
```
|
|
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
|
|
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i9-8950HK CPU @ 2.90GHz (906EA),ASM,AES-NI)
|
|
Scanning the drive for archives:
|
|
1 file, 5484894 bytes (5357 KiB)
|
|
Extracting archive: vUSB(1).zip
|
|
|
|
Path = vUSB(1).zip
|
|
Type = zip
|
|
Physical Size = 5484894
|
|
30% - vUSB.imgEverything is Ok
|
|
Size: 3221225472
|
|
Compressed: 5484894
|
|
```
|
|
|
|
[11.05.2023 19:23:54 UTC+2]: Es wird mit $ ls überprüft, ob das Entpacken funktioniert hat. Dabei wird folgender Output generiert, an dem man erkennen kann, dass das Entpacken scheinbar funktioniert hat:
|
|
'image(1).zip' image.img Readme.md Recovered01Repaired Recovered02Repaired U2.zip vUSB.img
|
|
image_dd mnt Recovered01 Recovered02 U2.img 'vUSB(1).zip' vUSB.zip
|
|
|
|
[11.05.2023 19:37:37 UTC+2]: Es wird mit dd versucht eine Sicherung zu erstellen:
|
|
`$ dd if=vUSB.img of=vUSB_dd status=progress conv=notrunc,sync,noerror`
|
|
Dabei wird folgender Output generiert:
|
|
```
|
|
3210326528 bytes (3.2 GB, 3.0 GiB) copied, 193 s, 16.6 MB/s
|
|
6291456+0 records in
|
|
6291456+0 records out
|
|
3221225472 bytes (3.2 GB, 3.0 GiB) copied, 193.62 s, 16.6 MB/s
|
|
```
|
|
|
|
[11.05.2023 19:56:12 UTC+2]: Es wird versucht dc3dd zu installieren:
|
|
`$ sudo apt install dc3dd`
|
|
Dabei wird folgender Output generiert:
|
|
```
|
|
Reading package lists... Done
|
|
Building dependency tree... Done
|
|
Reading state information... Done
|
|
The following NEW packages will be installed:
|
|
dc3dd
|
|
0 upgraded, 1 newly installed, 0 to remove and 507 not upgraded.
|
|
Need to get 117 kB of archives.
|
|
After this operation, 496 kB of additional disk space will be used.
|
|
Get:1 http://ftp.halifax.rwth-aachen.de/kali kali-rolling/main amd64 dc3dd amd64 7.2.646-6 [117 kB]
|
|
Fetched 117 kB in 1s (202 kB/s)
|
|
Selecting previously unselected package dc3dd.
|
|
(Reading database ... 392545 files and directories currently installed.)
|
|
Preparing to unpack .../dc3dd_7.2.646-6_amd64.deb ...
|
|
Unpacking dc3dd (7.2.646-6) ...
|
|
Setting up dc3dd (7.2.646-6) ...
|
|
Processing triggers for man-db (2.11.2-1) ...
|
|
Processing triggers for kali-menu (2023.1.7) ...
|
|
```
|
|
|
|
[11.05.2023 19:57:34 UTC+2]: Es wird mit dc3dd versucht eine Sicherung zu erstellen:
|
|
`$ dc3dd if=vUSB.img hash=md5 log=dc3ddusbLog of=vUSB_dc3dd`
|
|
Die Erstellung schlägt mit folgendem Output fehl:
|
|
```
|
|
dc3dd 7.2.646 started at 2023-05-11 14:01:05 -0400
|
|
compiled options:
|
|
command line: dc3dd if=vUSB.img hash=md5 log=dc3ddusbLog of=vUSB_dc3dd
|
|
sector size: 512 bytes (assumed)
|
|
3132784640 bytes ( 2.9 G ) copied ( 97% ), 161 s, 19 M/s
|
|
[!!] writing to `vUSB_dc3dd': No space left on device
|
|
3133341696 bytes ( 2.9 G ) copied ( 97% ), 162 s, 18 M/s
|
|
input results for file `vUSB.img':
|
|
6119808 sectors in
|
|
5b181dc8ab8db2ea22cf4d74e87d96d1 (md5)
|
|
output results for file `vUSB_dc3dd':
|
|
6119400 sectors out
|
|
dc3dd failed at 2023-05-11 14:03:47 -0400
|
|
```
|
|
|
|
|
|
[18.05.2023 19:06:48 UTC+2]: Es wird erneut mit dc3dd versucht eine Sicherung zu erstellen:
|
|
`$ dc3dd if=vUSB.img hash=md5 log=dc3ddusbLog of=vUSB_dc3dd `
|
|
Die Erstellung hat folgenden Output:
|
|
|
|
[11.05.2023 20:07:29 UTC+2]: Es wird versucht mit sudo dc3dd eine Sicherung zu erstellen:
|
|
`$ sudo dc3dd if=vUSB.img hash=md5 log=dc3ddusbLog of=vUSB_dc3dd`
|
|
Folgender Output wird bei der Erstellung generiert:
|
|
```
|
|
dc3dd 7.2.646 started at 2023-05-11 14:07:29 -0400
|
|
compiled options:
|
|
command line: dc3dd if=vUSB.img hash=md5 log=dc3ddusbLog of=vUSB_dc3dd
|
|
sector size: 512 bytes (assumed)
|
|
3221225472 bytes ( 3 G ) copied ( 100% ), 185 s, 17 M/s
|
|
input results for file `vUSB.img':
|
|
6291456 sectors in
|
|
01f7fd777cc239b0c87c81fc2253a219 (md5)
|
|
output results for file `vUSB_dc3dd':
|
|
6291456 sectors out
|
|
dc3dd completed at 2023-05-11 14:10:34 -0400
|
|
```
|
|
|
|
|
|
[30.05.2023 16:11:23 UTC+2]: Es wird versucht mit sudo dcfldd eine Sicherung zu erstellen:
|
|
|
|
`$ sudo dcfldd if=vUSB.img hash=md5 hashlog=dcflddusbHashlog.log of=vUSB_dc3dd conv=sync,noerror`
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
```
|
|
98304 blocks (3072Mb) written.
|
|
98304+0 records in
|
|
98304+0 records out
|
|
```
|
|
|
|
|
|
[30.05.2023 16:20:08 UTC+2]: Es wird versucht mit sudo dcfldd eine Sicherung zu erstellen:
|
|
|
|
`$ mksquashfs vUSB.img vUSBsquash.sqsh`
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
```
|
|
Parallel mksquashfs: Using 2 processors
|
|
Creating 4.0 filesystem on vUSBsquash.sqsh, block size 131072.
|
|
[========================================================/] 24576/24576 100%
|
|
|
|
Exportable Squashfs 4.0 filesystem, gzip compressed, data block size 131072
|
|
compressed data, compressed metadata, compressed fragments,
|
|
compressed xattrs, compressed ids
|
|
duplicates are removed
|
|
Filesystem size 2299.80 Kbytes (2.25 Mbytes)
|
|
0.07% of uncompressed filesystem size (3145824.25 Kbytes)
|
|
Inode table size 492 bytes (0.48 Kbytes)
|
|
0.50% of uncompressed inode table size (98394 bytes)
|
|
Directory table size 28 bytes (0.03 Kbytes)
|
|
93.33% of uncompressed directory table size (30 bytes)
|
|
Number of duplicate files found 0
|
|
Number of inodes 2
|
|
Number of files 1
|
|
Number of fragments 0
|
|
Number of symbolic links 0
|
|
Number of device nodes 0
|
|
Number of fifo nodes 0
|
|
Number of socket nodes 0
|
|
Number of directories 1
|
|
Number of hard-links 0
|
|
Number of ids (unique uids + gids) 1
|
|
Number of uids 1
|
|
kali (1000)
|
|
Number of gids 1
|
|
kali (1000)
|
|
```
|
|
|
|
|
|
[30.05.2023 16:26:55 UTC+2]: Es wird versucht mit fsstat herauszufinden, welches Dateisystem auf dem USB befindet:
|
|
|
|
`$ fsstat vUSB.img `
|
|
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
```
|
|
FILE SYSTEM INFORMATION
|
|
--------------------------------------------
|
|
File System Type: FAT32
|
|
|
|
OEM Name: mkfs.fat
|
|
Volume ID: 0x3700c1ae
|
|
Volume Label (Boot Sector): NO NAME
|
|
Volume Label (Root Directory):
|
|
File System Type Label: FAT32
|
|
Next Free Sector (FS Info): 16920
|
|
Free Sector Count (FS Info): 6274528
|
|
|
|
Sectors before file system: 0
|
|
|
|
File System Layout (in sectors)
|
|
Total Range: 0 - 6291455
|
|
* Reserved: 0 - 31
|
|
** Boot Sector: 0
|
|
** FS Info Sector: 1
|
|
** Backup Boot Sector: 6
|
|
* FAT 0: 32 - 6167
|
|
* FAT 1: 6168 - 12303
|
|
* Data Area: 12304 - 6291455
|
|
** Cluster Area: 12304 - 6291455
|
|
*** Root Directory: 12304 - 12311
|
|
|
|
METADATA INFORMATION
|
|
--------------------------------------------
|
|
Range: 2 - 100466438
|
|
Root Directory: 2
|
|
|
|
CONTENT INFORMATION
|
|
--------------------------------------------
|
|
Sector Size: 512
|
|
Cluster Size: 4096
|
|
Total Cluster Range: 2 - 784895
|
|
|
|
FAT CONTENTS (in sectors)
|
|
--------------------------------------------
|
|
12304-12311 (8) -> EOF
|
|
12312-12695 (384) -> EOF
|
|
12696-16895 (4200) -> EOF
|
|
16896-16927 (32) -> EOF
|
|
```
|
|
|
|
|
|
[30.05.2023 16:37:45 UTC+2]: Es wird versucht mit dcfldd den USB-Stick erneut zu sichern und dabei alle 1M Chunks einen Hash zu erzeugen. Dabei wird der Algorithmus SHA1 verwendet und jeder Hash in eine neue Zeile geschrieben:
|
|
|
|
`$ dcfldd if=vUSB.img of=vUSB_hash_dcfldd.img hash=sha1 hashwindow=1M hashlog=hashlog_vUSB.txt `
|
|
|
|
Dokumentation der Hashes (hashlog_vUSB.txt)
|
|
|
|
```
|
|
0 - 1048576: a253aa45f32e482664f24084758393209cfe31fd
|
|
1048576 - 2097152: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
2097152 - 3145728: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
3145728 - 4194304: 302f8a09309ffe605c547e1a11a99018c635cd6e
|
|
4194304 - 5242880: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
5242880 - 6291456: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
6291456 - 7340032: 05571fd2f866650acbabe1e938da0a5f3e78f23c
|
|
7340032 - 8388608: 58441662c3c1b3a7d1b79b13c65dbbfa37f6c2d0
|
|
8388608 - 9437184: 9b75dc78f044a96a3448dc2750d90a4613485f4c
|
|
9437184 - 10485760: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
10485760 - 11534336: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
11534336 - 12582912: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
12582912 - 13631488: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
13631488 - 14680064: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
14680064 - 15728640: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
15728640 - 16777216: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
16777216 - 17825792: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
17825792 - 18874368: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
18874368 - 19922944: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
19922944 - 20971520: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
20971520 - 22020096: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
22020096 - 23068672: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
23068672 - 24117248: 3b71f43ff30f4b15b5cd85dd9e95ebc7e84eb5a3
|
|
```
|
|
|
|
|
|
[30.05.2023 16:44:04 UTC+2]: Es wird versucht mit fls und dem ermittelten Offset und File System Type (siehe ffstat-Command) die Dateien zu extrahieren:
|
|
|
|
`$ fls -o 12304 -f fat32 vUSB.img`
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
`Invalid magic value (Not a FATFS file system (magic))`
|
|
|
|
[30.05.2023 16:58:13 UTC+2]: Es wird die Inode-Nummer der Datei vUSB.img ermittelt:
|
|
|
|
`$ ls -i vUSB.img `
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
`17432816 vUSB.img`
|
|
|
|
[30.05.2023 17:04:45 UTC+2]: Es wird versucht mit icat und dem ermittelten Offset und File System Type (siehe ffstat-Command), dem Offset und der ermittelten Inode-Nummer die Dateien zu extrahieren:
|
|
|
|
`$ icat vUSB.img -f fat32 -i raw -b 512 -o 12304 17432816 > /home/kali/Downloads/extracted_vUSB_icat`
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
`Invalid magic value (Not a FATFS file system (magic))`
|
|
|
|
|
|
|
|
|
|
[30.05.2023 17:13:18 UTC+2]: Der Output der Dateien wird mit dem fls ermittelt:
|
|
|
|
`$ fls vUSB.img`
|
|
|
|
Dabei wird folgender Output generiert:
|
|
|
|
```
|
|
r/r 4: Bild1.jpg
|
|
r/r 6: Bild2.jpeg
|
|
r/r 8: Blue.png
|
|
v/v 100466435: $MBR
|
|
v/v 100466436: $FAT1
|
|
v/v 100466437: $FAT2
|
|
V/V 100466438: $OrphanFiles
|
|
```
|
|
|
|
In diesen Dateien befinden sich drei Bilder. Das erste Bild ist ein Adler, der in die Kamera schaut, das zweite Bild ist ein fliegender Adler, der gestreckte Flügel und gestreckte Beine zeigt und das letzte Bild ist ein blau ausgefülltes Bild.
|
|
|
|
Bei dem blauen Bild wurde eine Auffälligkeit im Histogramm entdeckt. Die RGB-Werte zeigen, dass es sich nicht um ein rein blaues Bild handelt, sondern sich auch eine Abstufung des Blautons in dem Bild befindet. Nach Ändern des Bild-Kontrastes wurde eine Schrift auf dem Bild entdeckt, die Folgendes liest: "PIN 5713". Der Verdacht, dass sich in dem zur Durchsicht mitgenommenen Datenträgern eine PIN für die Entsperrung des Mobilfunktelefons wurde somit bestätigt.
|