# Aufgabe 1 1.2) **dd:** - bit-genauen Kopieren von Festplatten, Partitionen oder Dateien Befehl: ``` $ dd if=(Ursprungsdatei) of=(Zieldatei) ``` **dc3dd:** - Erweiterung von dd - beim Aufrufen wird hash gesetzt - statt 'of' wird 'hof' verwendet Befehl: ``` $ sudo dc3dd if=(Ursprungsdatei) hof=(Zieldatei) hash=sha256 ``` **dcfldd:** - kann Eingabedaten während der Übertragung abhashen - Statusausgabe - flexibel Festplattenlöschung - effizienter - Optionen die in dd nicht vorhanden sind: ALGORITHMlog:, errlog, hash, hashconv, hashformat, hashlog, hashlog:, hashwindow, limit, of:, pattern, sizeprobe, split, splitformat, statusinterval, textpattern, totalhashformat, verifylog, verifylog:, vf. Befehl ähnlich wie bei dd: ``` $ dcfldd if=(Ursprungsdatei) hod=(Zieldatei) ``` Dateisystem **SquashFS**: - Ist ein komprimiertes Dateisystem, welche nur lesenden Zugriff bietet und sich komplett in einer Datei befindet. 1.3) Option conv=noerror - conv = konvertiert ⇒ noerror beendet die Verarbeitung nicht bei einem Fehler Option conv=sync - conv = konvertiert ⇒ sync, füllt jeden Eingabeblock auf den ibs-Wert auf # Aufgabe 2 **Schritt 1:** Zunächst muss die Datei "USB.zip" entpackt werden. Dazu kann das Programm 7zip verwendet werden. ``` 2023-04-17 19:01:16 $ 7z e vUSB.zip ``` --- **Schritt 2:** Erstelle ein Datenträger-Image mit dd oder dcfldd. Der Befehl für dd lautet: ``` 2023-04-17 19:03:14 $ dd if=vUSB.img of=vUSBKopie.img skip=1054720 count=40886272 conv=notrunc,sync,noerror ``` --- **Schritt 3:** --- **Schritt 4:** Bestimmen das Dateisystem. Hierfür kann z.B. das Tool "lsblk -f" verwendet werden. ``` 2023-04-17 19:04:38 $ lsblk -f ``` Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap. --- **Schritt 5:** Sicher erneut mit dem Tool "dcfldd" und erzeuge dabei alle 1M Chunks einen Hash. Verwenden hierfür den Algorithmus SHA1. Dokumentiere die Hashes in das Analyseprotokoll und achten darauf, dass dcfldd jeden Hash in eine neue Zeile schreibt. ``` 2023-04-17 19:05:12 $ dcfldd if=vUSB.img of=vUSBKopieNeu.img bs=1M hash=sha1 ``` --- **Schritt 6:** Extrahieren der befindlichen Dateien mit Hilfe des Softwaretools "fls" sowie "icat" aus dem Sleuth Kit und die dazugehörigen Offsets und Hashes angeben: ``` 2023-04-17 19:05:52 $ fls vUSBKopieNeu.img > r/r 4: Bild1. jpg r/r 6: Bild2. jpeg r/r 8: Blue.png v/v 100466435: $MBR v/v 100466436: $FAT1 /v 100466437: $FAT2 V/V 100466438: $OrphanFiles ``` --- **Schritt 7:** Mounten der extrahierten Datei. ``` 2023-04-17 19:06:27 $ mkdir mnt 2023-04-17 19:06:28 $ sudo mount -r vUSBKopieNeu.img mnt 2023-04-17 19:07:28 $ cd mnt ``` --- **Schritt 8:** Analysieren die gefundenen Dateien. ``` 2023-04-17 19:07:29 $ ls > Bild1.jpg Bild2.jpeg Blue.png ``` --- **Schritt 9:** Öffnen der Bilder. ``` 2023-04-17 19:16:42 $ xdg-open Bild1.jpg 2023-04-17 19:16:49 $ xdg-open Bild2.jpeg 2023-04-17 19:16:58 $ xdg-open Blue.png ``` **Schritt 10:** Herausfinden, ob es eine PIN für die die Entsperrung des Mobilfunktelefons enthalten ist. ``` 2023-04-20 09:41:25 $ gimp Blue.png Öffnung der Gimp Tool > Öffne "Colors" > dann "Levels..." > unter "Input Levels" den Pfeil bis zum Strich ziehen, bis ein PIN zusehen ist ``` Ausgabe: Zusehen ist "PIN 5713" --- Bild1.jpg - Image Viewer [1/3] Bild2.jpeg - Image Viewer [2/3] Blue.png - Image Viewer [3/3]