DIF_GruppeD_Logbuch/13.04.2023 - Übung 4/Digitale Forensik, Übung 4.md

# Aufgabe 1
1.2)

**dd:**
- bit-genauen Kopieren von Festplatten, Partitionen oder Dateien 
Befehl:
```
$ dd if=(Ursprungsdatei) of=(Zieldatei) <optionen>
```

**dc3dd:**
- Erweiterung von dd
- beim Aufrufen wird hash gesetzt
- statt 'of' wird 'hof' verwendet
Befehl:
```
$ sudo dc3dd if=(Ursprungsdatei) hof=(Zieldatei) hash=sha256
```

**dcfldd:**
- kann Eingabedaten während der Übertragung abhashen
- Statusausgabe
- flexibel Festplattenlöschung
- effizienter
- Optionen die in dd nicht vorhanden sind: ALGORITHMlog:, errlog, hash, hashconv, hashformat, hashlog, hashlog:, hashwindow, limit, of:, pattern, sizeprobe, split, splitformat, statusinterval, textpattern, totalhashformat, verifylog, verifylog:, vf.
Befehl ähnlich wie bei dd:
```
$ dcfldd if=(Ursprungsdatei) hod=(Zieldatei)
```

Dateisystem **SquashFS**:
- Ist ein komprimiertes Dateisystem, welche nur lesenden Zugriff bietet und sich komplett in einer Datei befindet. 

1.3)
Option conv=noerror
- conv = konvertiert ⇒ noerror beendet die Verarbeitung nicht bei einem Fehler

Option conv=sync
- conv = konvertiert ⇒ sync, füllt jeden Eingabeblock auf den ibs-Wert auf

# Aufgabe 2

**Schritt 1:** Zunächst muss die Datei "USB.zip" entpackt werden. Dazu kann das Programm 7zip verwendet werden.

```
2023-04-17 19:01:16 $ 7z e vUSB.zip
```

---

**Schritt 2:** Erstelle ein Datenträger-Image mit dd oder dcfldd. Der Befehl für dd lautet:

```
2023-04-17 19:03:14 $ dd if=vUSB.img of=vUSBKopie.img skip=1054720 count=40886272 conv=notrunc,sync,noerror
```

---

**Schritt 3:** 

---

**Schritt 4:** Bestimmen  das Dateisystem. Hierfür kann z.B. das Tool "lsblk -f" verwendet werden.

```
2023-04-17 19:04:38 $ lsblk -f
```

Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap.

---

**Schritt 5:** Sicher erneut mit dem Tool "dcfldd" und erzeuge  dabei alle 1M Chunks einen Hash. Verwenden hierfür den Algorithmus SHA1. Dokumentiere die Hashes in das Analyseprotokoll und achten darauf, dass dcfldd jeden Hash in eine neue Zeile schreibt.

```
2023-04-17 19:05:12 $ dcfldd if=vUSB.img of=vUSBKopieNeu.img bs=1M hash=sha1
```

---

**Schritt 6:** Extrahieren der befindlichen Dateien mit Hilfe des Softwaretools "fls" sowie "icat" aus dem Sleuth Kit und die dazugehörigen Offsets und Hashes angeben: 

```
2023-04-17 19:05:52 $ fls vUSBKopieNeu.img
> r/r 4: Bild1. jpg
r/r 6: Bild2. jpeg
r/r 8: Blue.png
v/v 100466435: $MBR
v/v 100466436: $FAT1
/v 100466437: $FAT2
V/V 100466438: $OrphanFiles
```

---

**Schritt 7:** Mounten der extrahierten Datei.

```
2023-04-17 19:06:27 $ mkdir mnt
2023-04-17 19:06:28 $ sudo mount -r vUSBKopieNeu.img mnt
2023-04-17 19:07:28 $ cd mnt
```

---

**Schritt 8:** Analysieren die gefundenen Dateien. 

```
2023-04-17 19:07:29 $ ls
> Bild1.jpg Bild2.jpeg Blue.png
```

---

**Schritt 9:** Öffnen der Bilder.

```
2023-04-17 19:16:42 $ xdg-open Bild1.jpg
2023-04-17 19:16:49 $ xdg-open Bild2.jpeg
2023-04-17 19:16:58 $ xdg-open Blue.png
```
**Schritt 10:** Herausfinden, ob es eine PIN für die die Entsperrung des Mobilfunktelefons enthalten ist.

```
2023-04-20 09:41:25 $ gimp Blue.png
> Öffnung der Gimp Tool
```

Bild1.jpg - Image Viewer [1/3]

Bild2.jpeg - Image Viewer [2/3]

Blue.png - Image Viewer [3/3]