screenshots entfernt
parent
e916ddf6d1
commit
2e2ae2cb3e
|
@ -170,36 +170,26 @@ Zunächst führen wir den Befehl “fdisk -l Image.img” aus, um die Partitions
|
||||||
$ sudo fdisk -l image.img
|
$ sudo fdisk -l image.img
|
||||||
```
|
```
|
||||||
|
|
||||||
Ausgabe:
|
Die Partitionstabelle zeigt, dass die Image-Datei eine Partition enthält: ```image.img```.
|
||||||
|
|
||||||
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/ae0d7841-16fe-4376-a3ca-d9967e3d64c5/Untitled.png)
|
Als nächstes verwenden wir das Tool ```mmls``` aus dem Paket 'sleuthkit', um die Partitionstabelle der Image-Datei zu überprüfen:
|
||||||
|
|
||||||
Die Partitionstabelle zeigt, dass die Image-Datei eine Partition enthält: image.img.
|
|
||||||
|
|
||||||
Als nächstes verwenden wir das Tool “mmls” aus dem Paket “sleuthkit”, um die Partitionstabelle der Image-Datei zu überprüfen:
|
|
||||||
|
|
||||||
```
|
```
|
||||||
$ sudo mmls image.img
|
$ sudo mmls image.img
|
||||||
```
|
```
|
||||||
|
|
||||||
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/50b44fdd-8853-48ee-8c6b-695eb66211be/Untitled.png)
|
Die Ausgabe von ```fdisk``` und ```mmls``` zeigen, dass es in der Image-Datei eine einzige Partition gibt, welche als ```EFI System Partition``` bezeichnet wird. Beide Tools haben die gleiche Anzahl von Partitionen angezeigt, was darauf hinweist, dass sie in diesem Fall übereinstimmende Ergebnisse liefern.
|
||||||
|
|
||||||
Die Ausgabe von fdisk und mmls zeigen, dass es in der Image-Datei eine einzige Partition gibt, welche als "EFI System Partition" bezeichnet wird. Beide Tools haben die gleiche Anzahl von Partitionen angezeigt, was darauf hinweist, dass sie in diesem Fall übereinstimmende Ergebnisse liefern.
|
|
||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
**Schritt 3:** Ermitteln der Dateisystem in der Image-Datei:
|
**Schritt 3:** Ermitteln der Dateisystem in der Image-Datei:
|
||||||
|
|
||||||
Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap.
|
Durch Ausführen des Befehls 'lsblk -f' konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich ```vfat```, ```ext4``` und ```swap```.
|
||||||
|
|
||||||
```
|
```
|
||||||
$ lsblk -f
|
$ lsblk -f
|
||||||
```
|
```
|
||||||
|
|
||||||
Ausgabe:
|
|
||||||
|
|
||||||
![Untitled](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/5e6bfaca-a60b-4eae-990a-14cbc325cc15/Untitled.png)
|
|
||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
**Schritt 4:** Um den größten Partitionsbereich aus der Image-Datei zu extrahieren, kann man den Befehl dd verwenden. Die Optionen notrunc, sync und noerror sind optional, aber empfohlen, um sicherzustellen, dass das Extrahieren reibungslos verläuft und keine Daten verloren gehen.
|
**Schritt 4:** Um den größten Partitionsbereich aus der Image-Datei zu extrahieren, kann man den Befehl dd verwenden. Die Optionen notrunc, sync und noerror sind optional, aber empfohlen, um sicherzustellen, dass das Extrahieren reibungslos verläuft und keine Daten verloren gehen.
|
||||||
|
@ -225,7 +215,7 @@ d03b6db5a233851aa94cedacd563bfe70664b03c linux.img
|
||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
**Schritt 5:** Nun können wir die extrahierte Partition mounten um Zugriff auf die enthaltenen Daten zu bekommen. Dazu erstellen wir erst das neue Verzeichnis ___./mnt___ und nutzen dann den Befehl **mount** mit dem parameter **-r** um die Partition schreibgeschützt einzuhängen:
|
**Schritt 5:** Nun können wir die extrahierte Partition mounten um Zugriff auf die enthaltenen Daten zu bekommen. Dazu erstellen wir erst das neue Verzeichnis ___./mnt___ und nutzen dann den Befehl **mount** mit dem parameter **-r** um die Partition schreibgeschützt einzuhängen:
|
||||||
|
|
||||||
```
|
```
|
||||||
2023-04-08 17:29:45 $ mkdir mnt
|
2023-04-08 17:29:45 $ mkdir mnt
|
||||||
|
@ -384,7 +374,8 @@ root@kali:/# find . -user dif -type f -printf "%T+ %p\n" | sort | grep -v '.conf
|
||||||
2022-04-23+14:48:08.8230391480 ./home/dif/Pictures/schuhschnabel.png
|
2022-04-23+14:48:08.8230391480 ./home/dif/Pictures/schuhschnabel.png
|
||||||
```
|
```
|
||||||
|
|
||||||
Auffällig sind die Dateien ```./home/dif/Pictures/schuhschnabel.webp``` und ```./home/dif/Pictures/schuhschnabel.png```, eine png und eine webp Datei.
|
Auffällig sind die Dateien ```./home/dif/Pictures/schuhschnabel.webp``` und ```./home/dif/Pictures/schuhschnabel.png```, eine png und eine webp Datei.
|
||||||
|
|
||||||
[schuhschnabel.png](./schuhschnabel.png)
|
[schuhschnabel.png](./schuhschnabel.png)
|
||||||
|
|
||||||
[schuhschnabel.webp](./schuhschnabel.webp)
|
[schuhschnabel.webp](./schuhschnabel.webp)
|
||||||
|
|
Loading…
Reference in New Issue