commit 074dd61b719ed74056302adf3e9b34de4fbd1824
Author: Niclas Frey <3004104@stud.hs-mannheim.de>
Date:   Thu May 29 14:58:59 2025 +0200

    Dateien nach "Übungsblatt 4" hochladen

diff --git a/Übungsblatt 4/Blue_temp.png b/Übungsblatt 4/Blue_temp.png
new file mode 100644
index 0000000..18fc69e
Binary files /dev/null and b/Übungsblatt 4/Blue_temp.png differ
diff --git a/Übungsblatt 4/Logbuch Übungsblatt 4.md b/Übungsblatt 4/Logbuch Übungsblatt 4.md
new file mode 100644
index 0000000..2153b94
--- /dev/null
+++ b/Übungsblatt 4/Logbuch Übungsblatt 4.md	
@@ -0,0 +1,166 @@
+![[dif-team-16.png]]
+
+![[DIF.png]]
+
+<br>
+
+# <mark style="background: #70C3E7;">**Übungsblatt 4: Digitale Forensik – Logbuch**</mark>
+
+<br>
+
+## <mark style="background: #70C3E7;">**🗂️ Beweisstück**</mark>
+
+- **Gerätetyp**: USB-Stick
+- **Dateiname**: `vUSB.img`
+- **Dateigröße**: `3 221 225 472 Bytes` ( 3.0 GiB Nach IEC )
+- **Hash (MD5)**: `ccef24452b25da085bee1001ea0c8968`
+
+<br>
+
+## <mark style="background: #70C3E7;">**🛠️ Verwendete Tools**</mark>
+
+- **Betriebssytem**: Kali Linux (Version: 2025.1a)
+- **Tools**:
+	- unzip _<font color="#777">(zip/unzip utility - Paket: unzip)</font>_
+	- ll _<font color="#777">(ls -l alias)</font>_
+	- fsstat  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
+	- fls  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
+	- icat  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
+	- identify _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_
+	- convert _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_
+
+---
+
+## <mark style="background: #70C3E7;">**🧾 Analyse des Datenträger-Images „vUSB.img**</mark>
+
+<br>
+
+### <mark style="background: #5194AA;">**📦 1. Entgegennahme & Entpacken des Asservats**</mark>
+
+Die untersuchte Datei wurde in einem komprimierten Archiv geliefert:
+
+- **Dateiname:** `vUSB.zip`
+- **Prüfsumme (MD5):** `511dcfe311b5512b93b493a1c0975c42`
+
+Das Archiv wurde mit dem folgenden Befehl extrahiert:
+
+```shell
+unzip vUSB.zip
+```
+
+---
+
+### <mark style="background: #5194AA;">**🧮 2. Dateisystemanalyse**</mark>
+
+Zur strukturellen Analyse des Datenträgers wurde `fsstat` aus **The Sleuth Kit** verwendet:
+
+```shell
+fsstat vUSB.img
+```
+
+#### 🗂️ Dateisystem: FAT32
+
+- **OEM Name:** `mkfs.fat`
+- **Volume Label (Boot Sector):** `NO NAME`
+- **Clustergröße:** `4096 Bytes`
+- **Sektorgröße:** `512 Bytes`
+- **Root Directory Cluster:** `2`
+- **Dateisystembereich:** Sektor `0–6291455`
+- **FAT-Bereiche:** 
+  - FAT 0: Sektor `32–6167`
+  - FAT 1: Sektor `6168–12303`
+- **Datenbereich (Cluster):** Sektor `12304–6291455`
+
+> **MD5 des Images:** `96c392140b683792e58ec4751c754000`
+
+---
+
+### <mark style="background: #5194AA;">**📁 3. Dateiinhaltsverzeichnis (Dateieinträge)**</mark>
+
+Der Inhalt des Dateisystems wurde mit `fls` rekursiv gelistet:
+
+```shell
+fls -r -f fat vUSB.img
+```
+
+#### Gefundene Dateien:
+
+| Inode     | Typ        | Name         |
+|-----------|------------|--------------|
+| 4         | regulär    | Bild1.jpg    |
+| 6         | regulär    | Bild2.jpeg   |
+| 8         | regulär    | Blue.png     |
+| 100466435 | virtuell   | \$MBR        |
+| 100466436 | virtuell   | \$FAT1       |
+| 100466437 | virtuell   | \$FAT2       |
+| 100466438 | virtuell   | \$OrphanFiles|
+
+> 📎 **MD5 (Verzeichnisausgabe):** `49f870849abeeeb87d2f9e5cb5a89cef`
+
+---
+
+### <mark style="background: #5194AA;">**📤 4. Dateiextraktion vom Image**</mark>
+
+Die Bilddateien wurden mithilfe von `icat` (ebenfalls aus The Sleuth Kit) extrahiert:
+
+```shell
+icat -f fat vUSB.img 4 > Bild1.jpg
+icat -f fat vUSB.img 6 > Bild2.jpeg
+icat -f fat vUSB.img 8 > Blue.png
+```
+
+#### 🖼️ Extrahierte Dateien & Integritätsprüfung:
+
+| Dateiname    | Inode | MD5-Prüfsumme                         |
+|--------------|-------|---------------------------------------|
+| Bild1.jpg    | 4     | `692d82689730084d483ebc023f0f965f`    |
+| Bild2.jpeg   | 6     | `bffdc6fbb6c2c05ee5650bbc3b51054a`    |
+| Blue.png     | 8     | `45de8cedd915036360d4557cbc7483a3`    |
+
+> 🔒 Die MD5-Hashes wurden direkt nach der Extraktion erzeugt und dienen der Verifikation der Unverändertheit.
+
+---
+
+### <mark style="background: #5194AA;">**🖌️ 5. Analyse und Bearbeitung der Bilddatei „Blue.png“**</mark>
+
+Zur weiteren Untersuchung möglicher versteckter Informationen wurde das extrahierte Bild Blue.png analysiert. Zunächst wurde das Bild umbenannt und mit identify aus dem ImageMagick-Paket detailliert untersucht:
+
+```shell
+identify -verbose Blue_copy.png
+```
+
+<br>
+
+**🧾 Wichtige Metadaten aus der Analyse:**
+
+- **Bildgröße**: 1920 × 1080 Pixel
+- **Farbraum**: sRGB
+- **Farbtiefe**: 8-bit TrueColor
+- **Anzahl Farben**: 2 (nahezu identische Blautöne)
+- **Kommentar**: Created with GIMP
+- **ICC-Profil**: GIMP built-in sRGB (Public Domain)
+- **Originaler Zeitstempel (png:tIME)**: 2022-05-09T15:35:58Z
+- **MD5-Signatur laut ImageMagick**: c0d39c9d8423a9acf95217f7c89fae9664f98711953559468c5d22cdb712e8b1
+
+
+> **📊 Auffällig:** Das Bild besteht ausschließlich aus zwei sehr ähnlichen Blautönen:
+> **#0000F4 (0,0,244)** und **#0000F5 (0,0,245)**
+> Dies deutet auf eine gezielte Kodierung oder eine mögliche **Steganografie**-Technik hin.
+
+<br>
+
+Um diese Hypothese zu prüfen, wurde mit dem folgenden Befehl versucht, eine der Farben gezielt zu entfernen:
+
+```shell
+convert Blue_copy.png -fill transparent -opaque "srgb(0,0,244)" Blue_temp.png
+```
+
+<br>
+
+> **🎯 Ziel:** Visualisierung möglicher versteckter Informationen, indem der Farbwert #0000F4 vollständig entfernt und durch Transparenz ersetzt wurde.
+
+<br>
+
+#### **🖼️ Ergebnis der Manipulation:**
+
+![[Blue_temp.png]]
\ No newline at end of file