2022292
/
DIF_GruppeD_Logbuch
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

screenshots entfernt

main
Yaren Selvi 2023-04-11 15:14:47 +02:00
parent e916ddf6d1
commit 2e2ae2cb3e
1 changed files with 7 additions and 16 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

23
06.04.2023 - Übung 3/Logbuch - Übung 3.md
View File

@ -170,36 +170,26 @@ Zunächst führen wir den Befehl “fdisk -l Image.img” aus, um die Partitions
$ sudo fdisk -l image.img
```
Ausgabe:
Die Partitionstabelle zeigt, dass die Image-Datei eine Partition enthält: ```image.img```.
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/ae0d7841-16fe-4376-a3ca-d9967e3d64c5/Untitled.png)
Die Partitionstabelle zeigt, dass die Image-Datei eine Partition enthält: image.img.
Als nächstes verwenden wir das Tool “mmls” aus dem Paket “sleuthkit”, um die Partitionstabelle der Image-Datei zu überprüfen:
Als nächstes verwenden wir das Tool ```mmls``` aus dem Paket 'sleuthkit', um die Partitionstabelle der Image-Datei zu überprüfen:
```
$ sudo mmls image.img
```
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/50b44fdd-8853-48ee-8c6b-695eb66211be/Untitled.png)
Die Ausgabe von fdisk und mmls zeigen, dass es in der Image-Datei eine einzige Partition gibt, welche als "EFI System Partition" bezeichnet wird. Beide Tools haben die gleiche Anzahl von Partitionen angezeigt, was darauf hinweist, dass sie in diesem Fall übereinstimmende Ergebnisse liefern.
Die Ausgabe von ```fdisk``` und ```mmls``` zeigen, dass es in der Image-Datei eine einzige Partition gibt, welche als ```EFI System Partition``` bezeichnet wird. Beide Tools haben die gleiche Anzahl von Partitionen angezeigt, was darauf hinweist, dass sie in diesem Fall übereinstimmende Ergebnisse liefern.
---
**Schritt 3:** Ermitteln der Dateisystem in der Image-Datei:
Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap.
Durch Ausführen des Befehls 'lsblk -f' konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich ```vfat```, ```ext4``` und ```swap```.
```
$ lsblk -f
```
Ausgabe:
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/5e6bfaca-a60b-4eae-990a-14cbc325cc15/Untitled.png)
---
**Schritt 4:** Um den größten Partitionsbereich aus der Image-Datei zu extrahieren, kann man den Befehl dd verwenden. Die Optionen notrunc, sync und noerror sind optional, aber empfohlen, um sicherzustellen, dass das Extrahieren reibungslos verläuft und keine Daten verloren gehen.
@ -225,7 +215,7 @@ d03b6db5a233851aa94cedacd563bfe70664b03c linux.img
---
**Schritt 5:** Nun können wir die extrahierte Partition mounten um Zugriff auf die enthaltenen Daten zu bekommen. Dazu erstellen wir erst das neue Verzeichnis ___./mnt___ und nutzen dann den Befehl **mount** mit dem parameter **-r** um die Partition schreibgeschützt einzuhängen:
**Schritt 5:** Nun können wir die extrahierte Partition mounten um Zugriff auf die enthaltenen Daten zu bekommen. Dazu erstellen wir erst das neue Verzeichnis ___./mnt___ und nutzen dann den Befehl **mount** mit dem parameter **-r** um die Partition schreibgeschützt einzuhängen:
```
2023-04-08 17:29:45 $ mkdir mnt
@ -384,7 +374,8 @@ root@kali:/# find . -user dif -type f -printf "%T+ %p\n" | sort | grep -v '.conf
2022-04-23+14:48:08.8230391480 ./home/dif/Pictures/schuhschnabel.png
```
Auffällig sind die Dateien ```./home/dif/Pictures/schuhschnabel.webp``` und ```./home/dif/Pictures/schuhschnabel.png```, eine png und eine webp Datei.
Auffällig sind die Dateien ```./home/dif/Pictures/schuhschnabel.webp``` und ```./home/dif/Pictures/schuhschnabel.png```, eine png und eine webp Datei.
[schuhschnabel.png](./schuhschnabel.png)
[schuhschnabel.webp](./schuhschnabel.webp)