screenshots entfernt
parent
85c8cfca39
commit
e916ddf6d1
|
|
@ -46,10 +46,6 @@ Dadurch wird die U2.img-Datei in das Verzeichnis “/mnt” gemountet.
|
|||
2023-04-08 00:49:47 $ cd ls -la
|
||||
```
|
||||
|
||||
Ausgabe:
|
||||
|
||||
|
||||
|
||||
---
|
||||
|
||||
**Schritt 4:** Untersuchen der Datei mit einem Hex-Editor und xxd
|
||||
|
|
@ -59,14 +55,6 @@ Ausgabe:
|
|||
2023-04-08 00:53:19 $ xxd RecoverMe01 | head
|
||||
```
|
||||
|
||||
|
||||
|
||||
hexeditor RecoverMe01
|
||||
|
||||
|
||||
|
||||
xxd RecoverMe01 | head
|
||||
|
||||
---
|
||||
|
||||
**Schritt 5:** Ermittlung der Dateiformat mit dem folgenden Befehl
|
||||
|
|
@ -76,18 +64,16 @@ xxd RecoverMe01 | head
|
|||
```
|
||||
|
||||
Ausgabe:
|
||||
|
||||
|
||||
|
||||
Beschreibung: image data
|
||||
```
|
||||
DECIMAL HEXADECIMAL DESCRIPTION
|
||||
__________________________________________________________
|
||||
12 OxC TIFF image data, little-endian offset of first image directory: 8
|
||||
26331 0x66DB Copyright string: "Copyright (c) 1998 Hewlett-Packard Company"
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
**Schritt 6:** Um die gefundenen Dateien zu reparieren, war es notwendig, die Signaturen der Dateiformate zu überprüfen und gegebenenfalls anzupassen. Bei einer der Dateien handelte es sich um eine beschädigte JPEG-Datei, deren magische Zahl, siehe [https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)](https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)) im Hex-Editor als 0x0FFD8FF statt 0xFFD8FF angezeigt wurde, siehe Abbildung “Hexeditor RecoverMe01”. Um die Datei zu reparieren, musste diese magische Zahl auf 0xFFD8FF geändert werden. Da die Datei jedoch zuvor gemounted wurde und somit nur lesbar war, musste sie zuerst in einen anderen Ordner kopiert werden, um die nötigen Änderungen durchführen zu können, siehe Schritt 7.
|
||||
|
||||
|
||||
|
||||
Hexeditor RecoverMe01
|
||||
**Schritt 6:** Um die gefundenen Dateien zu reparieren, war es notwendig, die Signaturen der Dateiformate zu überprüfen und gegebenenfalls anzupassen. Bei einer der Dateien handelte es sich um eine beschädigte JPEG-Datei, deren magische Zahl, siehe [https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)](https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)) im Hex-Editor als ```0x0FFD8FF``` statt ```0xFFD8FF``` angezeigt wurde. Um die Datei zu reparieren, musste diese magische Zahl auf ```0xFFD8FF``` geändert werden. Da die Datei jedoch zuvor gemounted wurde und somit nur lesbar war, musste sie zuerst in einen anderen Ordner kopiert werden, um die nötigen Änderungen durchführen zu können, siehe Schritt 7.
|
||||
|
||||
---
|
||||
|
||||
|
|
@ -99,13 +85,11 @@ Hexeditor RecoverMe01
|
|||
2023-04-08 00:56:39 $ cp mnt/RecoverMe01 extracted/
|
||||
```
|
||||
|
||||
Um die Image-Datei zu reparieren, müssen wir nun in den "extracted" Ordner wechseln. Dazu verwenden wir den Befehl "cd ..", um in den übergeordneten Ordner zu gelangen, und anschließend "cd extracted", um in den Zielordner zu navigieren.
|
||||
Um die Image-Datei zu reparieren, müssen wir nun in den "extracted" Ordner wechseln. Dazu verwenden wir den Befehl ```cd ..```, um in den übergeordneten Ordner zu gelangen, und anschließend ```cd extracted```, um in den Zielordner zu navigieren.
|
||||
|
||||
Nachdem wir in den "extracted" Ordner gewechselt sind, können wir Schritt 4 erneut durchführen und die betroffene Datei in einem Hex-Editor öffnen. Hier können wir die entsprechenden Bytes von 0x0F auf 0xFF ändern und die Änderungen mit "^X" speichern und den Editor verlassen.
|
||||
Nachdem wir in den "extracted" Ordner gewechselt sind, können wir Schritt 4 erneut durchführen und die betroffene Datei in einem Hex-Editor öffnen. Hier können wir die entsprechenden Bytes von ```0x0F``` auf ```0xFF``` ändern und die Änderungen mit ```^X``` speichern und den Editor verlassen.
|
||||
|
||||
|
||||
|
||||
Nachdem die Reparatur der Magischen Zahl erfolgreich durchgeführt wurde, konnten wir die Datei in einem Hex-Editor erneut überprüfen und die Bytes von 0x0F zu 0xFF ändern. Anschließend haben wir die Datei gespeichert und den Hex-Editor verlassen. Mit dem Befehl 'xdg-open RecoverMe01' konnten wir die reparierte Image-Datei öffnen, da wir zuvor mit dem Befehl 'binwalk RecoverMe01' herausgefunden hatten, dass es sich um eine Image-Datei handelt. Diesmal haben wir den Befehl 'xdg-open' verwendet, um die Datei mit dem Standardprogramm für das jeweilige Dateiformat zu öffnen.
|
||||
Nachdem die Reparatur der Magischen Zahl erfolgreich durchgeführt wurde, konnten wir die Datei in einem Hex-Editor erneut überprüfen und die Bytes von ```0x0F``` zu ```0xFF ändern```. Anschließend haben wir die Datei gespeichert und den Hex-Editor verlassen. Mit dem Befehl ```xdg-open RecoverMe01``` konnten wir die reparierte Image-Datei öffnen, da wir zuvor mit dem Befehl ```binwalk RecoverMe01``` herausgefunden hatten, dass es sich um eine Image-Datei handelt.
|
||||
|
||||
```
|
||||
2023-04-08 00:57:33 $ xdg-open RecoverMe01
|
||||
|
|
@ -113,9 +97,6 @@ Nachdem die Reparatur der Magischen Zahl erfolgreich durchgeführt wurde, konnte
|
|||
|
||||
Ausgabe: Anschließend konnte die reparierte JPEG-Datei mithilfe eines Image Viewers geöffnet werden und es war deutlich erkennbar, dass es sich um die Hochschule Mannheim, Gebäude H handelte.
|
||||
|
||||
|
||||
|
||||
RecoverMe01 - Image Viewer
|
||||
|
||||
# RecoverMe02:
|
||||
|
||||
|
|
@ -135,19 +116,15 @@ RecoverMe01 - Image Viewer
|
|||
2023-04-08 15:33:58 $ hexeditor RecoverMe02
|
||||
```
|
||||
|
||||
|
||||
|
||||
Nachdem wir die Datei im Hexeditor geöffnet haben, konnten wir feststellen, dass die ausgegebene magische Nummer 0x89504E470D0A1A0A nicht korrekt ist. Wir haben erkannt, dass anstatt des erwarteten Wertes 0x89504E770D0A1A0A, ein Fehler unterlaufen ist. Deshalb werden wir als nächstes die Zahl "47" zu "77" ändern, um die Datei zu reparieren.
|
||||
Nachdem wir die Datei im Hexeditor geöffnet haben, konnten wir feststellen, dass die ausgegebene magische Nummer ```0x89504E470D0A1A0A``` nicht korrekt ist. Wir haben erkannt, dass anstatt des erwarteten Wertes ```0x89504E770D0A1A0A```, ein Fehler unterlaufen ist. Deshalb werden wir als nächstes die Zahl ```47``` zu ```77``` ändern, um die Datei zu reparieren.
|
||||
|
||||
---
|
||||
|
||||
**Schritt 3:** Nachdem wir die Datei im Hexeditor geöffnet haben, ändern wir die "77" zu "47", speichern die Änderungen mit "^X" und verlassen den Editor.
|
||||
|
||||
|
||||
**Schritt 3:** Nachdem wir die Datei im Hexeditor geöffnet haben, ändern wir die ```77``` zu ```47```, speichern die Änderungen mit ```^X``` und verlassen den Editor.
|
||||
|
||||
---
|
||||
|
||||
**Schritt 4:** Nach der erfolgreichen Reparatur der Zahl können wir wie in Schritt 7 beschrieben die reparierte Datei mithilfe des Befehls "xdg-open" öffnen.
|
||||
**Schritt 4:** Nach der erfolgreichen Reparatur der Zahl können wir wie in Schritt 7 beschrieben die reparierte Datei mithilfe des Befehls ```xdg-open``` öffnen.
|
||||
|
||||
```
|
||||
2023-04-08 15:46:45 $ xdg-open RecoverMe02
|
||||
|
|
@ -155,9 +132,6 @@ Nachdem wir die Datei im Hexeditor geöffnet haben, konnten wir feststellen, das
|
|||
|
||||
Ausgabe: Anschließend konnte die reparierte Datei mithilfe eines Image Viewers geöffnet werden und es war deutlich erkennbar, dass es sich um das Logo der Hochschule Mannheim handelte.
|
||||
|
||||
|
||||
|
||||
RecoverMe02 - Image Viewer
|
||||
|
||||
### Aufgabe 2:
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue