2022292
/
DIF_GruppeD_Logbuch
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
DIF_GruppeD_Logbuch/13.04.2023 - Übung 4/Digitale Forensik, Übung 4.md

3.5 KiB
Raw Permalink Blame History

Aufgabe 1

1.2)

dd:

  • bit-genauen Kopieren von Festplatten, Partitionen oder Dateien Befehl:
$ dd if=(Ursprungsdatei) of=(Zieldatei) <optionen>

dc3dd:

  • Erweiterung von dd
  • beim Aufrufen wird hash gesetzt
  • statt 'of' wird 'hof' verwendet Befehl:
$ sudo dc3dd if=(Ursprungsdatei) hof=(Zieldatei) hash=sha256

dcfldd:

  • kann Eingabedaten während der Übertragung abhashen
  • Statusausgabe
  • flexibel Festplattenlöschung
  • effizienter
  • Optionen die in dd nicht vorhanden sind: ALGORITHMlog:, errlog, hash, hashconv, hashformat, hashlog, hashlog:, hashwindow, limit, of:, pattern, sizeprobe, split, splitformat, statusinterval, textpattern, totalhashformat, verifylog, verifylog:, vf. Befehl ähnlich wie bei dd:
$ dcfldd if=(Ursprungsdatei) hod=(Zieldatei)

Dateisystem SquashFS:

  • Ist ein komprimiertes Dateisystem, welche nur lesenden Zugriff bietet und sich komplett in einer Datei befindet.

1.3) Option conv=noerror

  • conv = konvertiert ⇒ noerror beendet die Verarbeitung nicht bei einem Fehler

Option conv=sync

  • conv = konvertiert ⇒ sync, füllt jeden Eingabeblock auf den ibs-Wert auf

Aufgabe 2

Schritt 1: Zunächst muss die Datei "USB.zip" entpackt werden. Dazu kann das Programm 7zip verwendet werden.

2023-04-17 19:01:16 $ 7z e vUSB.zip

Schritt 2: Erstelle ein Datenträger-Image mit dd oder dcfldd. Der Befehl für dd lautet:

2023-04-17 19:03:14 $ dd if=vUSB.img of=vUSBKopie.img skip=1054720 count=40886272 conv=notrunc,sync,noerror

Schritt 3:

Schritt 4: Bestimmen das Dateisystem. Hierfür kann z.B. das Tool "lsblk -f" verwendet werden.

2023-04-17 19:04:38 $ lsblk -f

Durch Ausführen des Befehls lsblk -f konnten wir das Dateisystem in der Image-Datei ermitteln. Die Ausgabe des Befehls zeigte uns, dass das Image-Datei mehrere Dateisystemtypen enthält, nämlich vfat, ext4 und swap.

Schritt 5: Sicher erneut mit dem Tool "dcfldd" und erzeuge dabei alle 1M Chunks einen Hash. Verwenden hierfür den Algorithmus SHA1. Dokumentiere die Hashes in das Analyseprotokoll und achten darauf, dass dcfldd jeden Hash in eine neue Zeile schreibt.

2023-04-17 19:05:12 $ dcfldd if=vUSB.img of=vUSBKopieNeu.img bs=1M hash=sha1

Schritt 6: Extrahieren der befindlichen Dateien mit Hilfe des Softwaretools "fls" sowie "icat" aus dem Sleuth Kit und die dazugehörigen Offsets und Hashes angeben:

2023-04-17 19:05:52 $ fls vUSBKopieNeu.img
> r/r 4: Bild1. jpg
r/r 6: Bild2. jpeg
r/r 8: Blue.png
v/v 100466435: $MBR
v/v 100466436: $FAT1
/v 100466437: $FAT2
V/V 100466438: $OrphanFiles

Schritt 7: Mounten der extrahierten Datei.

2023-04-17 19:06:27 $ mkdir mnt
2023-04-17 19:06:28 $ sudo mount -r vUSBKopieNeu.img mnt
2023-04-17 19:07:28 $ cd mnt

Schritt 8: Analysieren die gefundenen Dateien.

2023-04-17 19:07:29 $ ls
> Bild1.jpg Bild2.jpeg Blue.png

Schritt 9: Öffnen der Bilder.

2023-04-17 19:16:42 $ xdg-open Bild1.jpg
2023-04-17 19:16:49 $ xdg-open Bild2.jpeg
2023-04-17 19:16:58 $ xdg-open Blue.png

Schritt 10: Herausfinden, ob es eine PIN für die die Entsperrung des Mobilfunktelefons enthalten ist.

2023-04-20 09:41:25 $ gimp Blue.png
Öffnung der Gimp Tool
> Öffne "Colors"
> dann "Levels..."
> unter "Input Levels" den Pfeil bis zum Strich ziehen, bis ein PIN zusehen ist

Ausgabe: Zusehen ist "PIN 5713"

Bild1.jpg - Image Viewer [1/3]

Bild2.jpeg - Image Viewer [2/3]

Blue.png - Image Viewer [3/3]

GIMP Tool - PIN_5713.png