2022292
/
DIF_GruppeD_Logbuch
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Dateien hochladen nach „13.04.2023 - Übung 4“

main
Yaren Selvi 2023-04-17 23:05:44 +02:00
parent ab6567ef2a
commit b32b188507
1 changed files with 71 additions and 33 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

104
13.04.2023 - Übung 4/Digitale Forensik, Übung 4.md
View File

@ -1,55 +1,93 @@
# Digitale Forensik, Übung 4 # Aufgabe 2
Aufgabe 1: **Schritt 1:** Zunächst muss die Datei "USB.zip" entpackt werden. Dazu kann das Programm 7zip verwendet werden.
1.2)
**dd**:
- bit-genauen Kopieren von Festplatten, Partitionen oder Dateien
Befehl:
``` ```
$ dd if=(Ursprungsdatei) of=(Zieldatei) <optionen> 2023-04-17 19:01:16 $ 7z e vUSB.zip
``` ```
**dc3dd:** ---
- Erweiterung von dd **Schritt 2:** Erstelle ein Datenträger-Image mit dd oder dcfldd. Der Befehl für dd lautet:
- beim Aufrufen wird hash gesetzt
- statt 'of' wird 'hof' verwendet
Befehl:
``` ```
$ sudo dc3dd if=(Ursprungsdatei) hof=(Zieldatei) hash=sha256 2023-04-17 19:03:14 $ dd if=vUSB.img of=vUSBKopie.img skip=1054720 count=40886272 conv=notrunc,sync,noerror
``` ```
**dcfldd**: ---
- kann Eingabedaten während der Übertragung abhashen **Schritt 3:**
- Statusausgabe
- flexibel Festplattenlöschung
- effizienter
- Optionen die in dd nicht vorhanden sind: ALGORITHMlog:, errlog, hash, hashconv, hashformat, hashlog, hashlog:, hashwindow, limit, of:, pattern, sizeprobe, split, splitformat, statusinterval, textpattern, totalhashformat, verifylog, verifylog:, vf.
Befehl ähnlich wie bei dd: ---
**Schritt 4:** Bestimmen das Dateisystem. Hierfür kann z.B. das Tool "lsblk -f" verwendet werden.
``` ```
$ dcfldd if=(Ursprungsdatei) hof=(Zieldatei) 2023-04-17 19:04:38 $ lsblk -f
``` ```
Dateisystem **SquashFS**: Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap.
- Ist ein komprimiertes Dateisystem, welche nur lesenden Zugriff bietet und sich komplett in einer Datei befindet. ---
1.3) **Schritt 5:** Sicher erneut mit dem Tool "dcfldd" und erzeuge dabei alle 1M Chunks einen Hash. Verwenden hierfür den Algorithmus SHA1. Dokumentiere die Hashes in das Analyseprotokoll und achten darauf, dass dcfldd jeden Hash in eine neue Zeile schreibt.
Option conv=noerror ```
2023-04-17 19:05:12 $ dcfldd if=vUSB.img of=vUSBKopieNeu.img bs=1M hash=sha1
```
- conv = konvertiert ⇒ noerror beendet die Verarbeitung nicht bei einem Fehler ---
Option conv=sync **Schritt 6:** Extrahiere die befindlichen Dateien mit Hilfe des Softwaretools "fls" sowie "icat" aus dem Sleuth Kit und gebe die dazugehörigen Offsets und Hashes an. Hierbei sollte auch die Option "-r" verwendet werden, um auch gelöschte Dateien zu extrahieren.
- conv = konvertiert ⇒ sync, füllt jeden Eingabeblock auf den ibs-Wert auf ```
2023-04-17 19:05:52 $ fls vUSBKopieNeu.img
> r/r 4: Bild1. jpg
r/r 6: Bild2. jpeg
r/r 8: Blue.png
v/v 100466435: $MBR
v/v 100466436: $FAT1
/v 100466437: $FAT2
V/V 100466438: $OrphanFiles
```
---
**Schritt 7:** Mounten der extrahierten Datei.
```
2023-04-17 19:06:27 $ mkdir mnt
2023-04-17 19:06:28 $ sudo mount -r vUSBKopieNeu.img mnt
2023-04-17 19:07:28 $ cd mnt
```
---
**Schritt 8:** Analysieren die gefundenen Dateien.
```
2023-04-17 19:07:29 $ ls
> Bild1.jpg Bild2.jpeg Blue.png
```
---
**Schritt 9:** Öffnen der Bilder.
```
2023-04-17 19:16:42 $ xdg-open Bild1.jpg
2023-04-17 19:16:49 $ xdg-open Bild2.jpeg
2023-04-17 19:16:58 $ xdg-open Blue.png
```
![Bild1.jpg - Image Viewer [1/3]](Aufgabe%202%20b1a2d2b8b45d42829c5b7cb620464452/Untitled.png)
Bild1.jpg - Image Viewer [1/3]
![Bild2.jpeg - Image Viewer [2/3]](Aufgabe%202%20b1a2d2b8b45d42829c5b7cb620464452/Untitled%201.png)
Bild2.jpeg - Image Viewer [2/3]
![Blue.png - Image Viewer [3/3]](Aufgabe%202%20b1a2d2b8b45d42829c5b7cb620464452/Untitled%202.png)
Blue.png - Image Viewer [3/3]