diff --git a/Gutachten.md b/Gutachten.md index 6d93d8a..8da3786 100644 --- a/Gutachten.md +++ b/Gutachten.md @@ -1,19 +1,20 @@ +_Team 16: Viktor Linner (3008571), Niclas Frey (3004104)_ ## 1. Untersuchungsauftrag Die Auftraggeberin, die Generalstaatsanwaltschaft (Frau Oberstaatsanwältin Blitzgescheit), beauftragte mit dem Auftrag vom 26.06.2025 das Team 16 des Sachverständigenbüro "Finde die Wahrheit" mit der forensischen Auswertung von sichergestellten Beweismitteln. Insbesondere war zu prüfen, ob sich anhand der Beweismittel Dateien mit kinderpornographischen Inhalten feststellen lassen. Hierzu sollte geprüft werden, ob sich gegebenenfalls Nutzung und/oder Verbreitung besagter Inhalte durch die Beschuldigte nachweisen lasse. Desweiteren waren elektronische Kommunikationen wie E-Mails oder Chats aus dem Beweismittel zu extrahieren. Die vollständige Dokumentation des Auftrags finden Sie im Anschluss. - ## 2. Asservate -**Zuordnung Ass.-Nr.** -ggf. fotografische Sicherung von Beschädigungen +Den übergebenen Beweismitteln wurden zunächst Lfd.-Nr. wie folgt zugeordnet: +- Festplatte mit Markierung "qcow2": Toshiba v63700 - A 500GB HDD-Festplatte - **Lfd.-Nr. 1** - **Intakt** ## 3. Ergebniszusammenfassung Es wurde festgestellt, -1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr 1 der Beschuldigten FLIEGNER im Verzeichnis `./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite` Google-Suchen nach vermutlich kinderpornographischen Inhalten zu finden sind (*Anlage 1*) +1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr 1 der Beschuldigten FLIEGNER Google-Suchen nach vermutlich kinderpornographischen Inhalten zu finden sind (*Anlage 1*) 2. dass auf dem verschlüsselten Image auf dem Datenträger mit der Lfd.-Nr 1 im Verzeichnis `/media/barney/067E7AF632AA2E11/xxx` Bilder zu finden sind, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 2*) 3. dass sich auf dem Datenträger mit der Lfd.-Nr 1 gelöschte Dateien befinden, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 3*) - +4. dass sich auf dem Datenträger mit der Lfd.-Nr 1 Einträge in der Datei `/home/barney/.local/share/recently-used.xbel` Hinweise auf Benutzung des verschlüsselten Images aus Punkt 2 befinden (*Anlage 4*) +5. dass sich auf dem Datenträger mit der Lfd.-Nr 1 eine korrupte Bilddatei befindet, nach derer Wiederherstellung festzustellen ist, dass es sich dabei vermutlich um eine kinderpornografische Darstellung handelt ## 4. Befund _was haben wir wo gefunden und wie ordnen wir es ein?_ #### 4.1 Befund: Browser-History -Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser-History des Nutzers **barney** wieder. Die vollständige Browser-History findet sich in *Anlage 1*. +Die Browser-History wurde aus der Datei ``./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite`` extrahiert. Bei der Datei handelt es sich um eine Datenbankdatei, die mithilfe eines Datenbankprogrammes untersucht werden konnte. Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser-History des Nutzers **barney** wieder: | History-Eintrag | Suchbegriff | Datum (UTC) | | --------------- | --------------------------------------------------------------------------------- | -------------------------- | @@ -21,11 +22,17 @@ Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser- | 10 | `hot cheerleader pics` | `Mon Jul 04 2022 16:47:27` | | 12 | `sexy girls cheerleader` | `Tue Jul 01 2025 19:54:10` | | 18 | Enthält Weiterleitung zur Suche nach `hot cheerleader` auf `www.shutterstock.com` | `Wed Jul 02 2025 19:54:18` | +Anhand der Browser-History lässt sich feststellen, dass mit dem Benutzeraccount `barney` solche Internet-Suchen getätigt wurden, die beabsichtigten, kinderpornografische Inhalte zu finden. Die vollständige Browser-History findet sich in *Anlage 1*. #### 4.2 Befund: Verschlüsseltes Image Bei der Überprüfung der übergebenen Speichermedien der Beschuldigten FLIEGNER wurde ein verschlüsseltes Veracrypt-Image `/media/barney/067E7AF632AA2E11/xxx` festgestellt. Nach Wiederherstellung des zur Entschlüsselung benötigten Passworts konnte festgestellt werden, dass das Verzeichnis drei Bilddarstellungen enthält, die vermutlich als Kinderpornografie einzustufen sind. Die Bilddarstellungen sind in *Anlage 2* beigelegt. - +Insbesondere ist anzumerken, dass das Passwort zur Entschlüsselung `littleGirls` lautet. #### 4.3 Befund: Gelöschte Dateien - +Weiterhin wurde bei der Überprüfung von FLIEGNER's Speichermedien eine große Menge an gelöschtem Bildmaterial festgestellt, welches wiederhergestellt werden konnte. Ein Screenshot mit einer auszugsweisen Übersicht über die Bilddateien ist in *Anlage 3* beigefügt. Die gesamten Bilddarstellungen sind in einem externen Speichermedium im Verzeichnis `recovered_files` abgespeichert und können Ihnen bei Bedarf übergeben werden. +#### 4.4 Befund: Kürzlich genutzte Dateien +In der Datei `/home/barney/.local/share/recently-used.xbel` konnten Nutzungsspuren der Verzeichnisse ``/media/barney/067E7AF632AA2E11/Bilder`` +und `/media/barney/067E7AF632AA2E11/xxx` festgestellt werden, die Bildmaterial enthalten, das vermutlich als Kinderpornografie einzustufen ist. +#### 4.5 Befund: Korrupte Bilddatei +Im Verzeichnis `/media/barney/067E7AF632AA2E11/` wurde eine korrupte Bilddatei `c1.jpeg` identifiziert, die mit IT-forensischen Methoden wiederhergestellt werden konnte. Das Bildmaterial ist vermutlich als Kinderpornografie einzustufen und ist in *Anlage 5* beigelegt. ## 5. Untersuchungsgang _Chronologische und sachliche Beschreibung der Vorgehensweise_ ### Datensicherung @@ -33,18 +40,12 @@ Am 02.07.2025 um 11:20 besuchten die Sachverständigen des Sachverständigenbür Das für die begutachtung relevante Image wurde identifiert als Date `ForImage9.img`. Vor der Kopie des Images auf einen Datenträger der Sachverständigen wurde ein MD5-Hash des Images erstellt, um nach dem Kopiervorgang feststellen zu können, dass die Kopie identisch zum Original ist. ```PowerShell PS D:\> dir - - Verzeichnis: D:\ - - Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 01.07.2025 22:12 12748128256 ForImage9.img - PS D:\> Get-FileHash .\ForImage9.img -Algorithm MD5 - Algorithm Hash Path --------- ---- ---- MD5 9C9570F6F648BA1D0FF14F8CD6AACF39 D:\ForImage9.img @@ -66,8 +67,6 @@ sudo apt install qemu-utils sudo modprobe nbd max_part=8 sudo qemu-nbd --connect=/dev/nbd0 ForImage9.img --read-only lsblk /dev/nbd0 -sudo mkdir /mnt/forensik -sudo mount /dev/nbd0p1 /mnt/forensik ``` ### Passwort-Extraktion Die Sachverständigen extrahierten zunächst die Passwörter aller Nutzer aus der Datei `/etc/shadow`: @@ -121,8 +120,7 @@ select * from moz_places Die vollständige Browser-History ist in Anlage 1 enthalten. Die neunte Spalte enhält Zahlen im Format `1656953208163056` (Beispiel aus der ersten Zeile der Ausgabe). Dies sind sogenannte 'Unix-Timestamps' - Zeitstempel in einem bestimmten Format. Diese Zeitstempel erlaubten es den Sachverständigen, die Browserdaten zeitlich einzuordnen. ### Kürzlich genutzte Dateien - -Die Date `/home/barney/.local/sharerecently-used.xbel` gibt Auskunft über kürzlich genutzte Dateien des Users `barney`: +Die Datei `/home/barney/.local/share/recently-used.xbel` gibt Auskunft über kürzlich genutzte Dateien des Users `barney`: _Auszug aus /home/barney/.local/sharerecently-used.xbel:_ ```xml @@ -174,10 +172,33 @@ Bilder Dokumente Downloads Musik Öffentlich Pass.kdbx Schreibtisch snap ``` Die Datenbank ließ sich mit dem zuvor wiederhergestellen Passwort `ahM4Hood` öffnen. In der Datenbank war ein einziges Passwort im Verzeichnis "Root" hinterlegt. Titel des Datenbankeintrags war "VeraCrypt". Das Passwort war "``littleGirls``". -### xxx-Datei - +### Veracrypt-verschlüsselte Datei +Die Datei `/media/barney/067E7AF632AA2E11/xxx` konnte mit dem aus der KeePass-Datenbank gewonnenen Passwort entschlüsselt und forensisch untersucht werden: +```bash +sudo mkdir /mnt/veracrypt && sudo veracrypt --text --mount xxx /mnt/veracrypt +``` +### Korrupte Bilddatei +Die Bilddatei `Bilder/c1.jpg` wurde auf Dateikorruption untersucht, da sie die Endung einer Bilddatei besitzt, sich aber nicht als Bild öffnen ließ. +Um festzustellen, ob es sich wirklich um eine Bilddatei handelt, oder ob die Dateiendung womöglich nichts mit dem Inhalt der Datei zu tun hat (was auf Unix-Systemen durchaus sein kann), nutzten die Sachverständigen das Programm `xxd`: +``` +xxd c1.jpeg | head -n 20 +00000000: ddd8 ffe0 0010 4a46 4946 0001 0100 0001 ......JFIF...... +00000010: 0001 0000 ffdb 0084 0009 0607 1210 1215 ................ +00000020: 0f10 1216 1015 0f10 1010 0f15 1015 150f ................ +00000030: 1510 1015 1516 1615 1515 1518 1d28 2018 .............( . +``` +Die ersten Bytes der Datei ähneln den bei einer jpeg-Datei erwarteten ersten Bytes `FF D8 FF E0 00`. +Um herauszufinden, ob die Datei sich bei Änderung der Bytes in die oben genannte Bytefolge als Bilddatei öffnen lässt, veränderten die Sachverständigen die Magic Bytes der Datei mit dem Hexeditor `wxhexeditor`. +Tatsächlich ließ sich nach der Änderung die Datei als Bild öffnen. +### Untersuchung auf gelöschte Dateien +Das tool `photorec` wurde genutzt, um alle auf dem Image vorhandenen gelöschten Dateien wiederherzustellen: +```bash +photorec /home/sf_kali_share/ForImage9 +``` +Dabei konnte eine große Menge Bilder wiederhergestellt werden, bei denen es sich vermutlich um kinderpornografisches Bildmaterial handelt. +Da die Anzahl der Bilder zu groß ist, um sie den Anlagen beizufügen, ist exemplarisch ein Screenshot aus einem Bild-Ansichts-Programm beigefügt. Die restlichen Darstellungen haben wir für Sie in einem externen Datenträger gesichert, den wir Ihnen auf Anfrage gerne bereitstellen. ## 6. Anlagen -### Anlage I: Vollständige Browser-History des users `barney` +### Anlage 1: Vollständige Browser-History des users `barney` ``` 1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1 2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596| @@ -198,6 +219,71 @@ In der Datenbank war ein einziges Passwort im Verzeichnis "Root" hinterlegt. Tit 16|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=PdmE7HJ-gy1JZM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399736003286|mvushxzbfYqP|0|47357381351553||||3 18|https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.shutterstock.com%2Fde%2Fsearch%2Fhot-cheerleader&psig=AOvVaw1jVI9MPGMcs8DtCnFhnflL&ust=1751486058108000&source=images&cd=vfe&opi=89978449&ved=0CBQQjRxqFwoTCNjdlZ-4nI4DFQAAAAAdAAAAABAS||moc.elgoog.www.|1|1|0|25|1751399857179623|-VXBlm6v3hA9|0|47358059237094||||3 ``` + +### Anlage 2: Inhalt des verschlüsselten Veracrypt-Image +### Anlage 3: Gelöschtes Bildmaterial + +### Anlage 4: Datei ``/home/barney/.local/share/recently-used.xbel`` +```xml + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +``` +### Anlage 5: Wiederhergestelltes Bildmaterial + ## 7. Anhang ### Anhang I: Grundsätzliche Vorgehensweisen @@ -210,10 +296,10 @@ Die Auswertung geschieht mittels spezieller Software. Dabei werden – falls das ##### I.I.2 Hardware-Write-Blocker Für den Zugriff auf Beweisdatenträger, welche nicht auf Grund Ihrer Art selbst schreibgeschützt sind, wurden sogenannte Hardware-Write-Blocker verwendet, die durch Ihren speziellen elektronischen Aufbau den schreibenden Zugriff auf den Datenträger in jedem Fall verhindern und somit die Integrität der gesicherten Daten gewährleisten. Hierzu fand ein Gerät der Firma "**Logicube**" des Typs **WriteProtect USB wpu 201018 59°** Verwendung. Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schreibzugriffe ist so mit ausgeschlossen. - ### Anhang II: Wichtige Lesehinweise zum Gutachten **Inhalt**: Es werden nicht alle negativen Untersuchungen dokumentiert **Juristische Begriffe**: Falls ein juristischer Begriff Verwendung findet, geschieht das ungewollt und in der umgangssprachlichen Bedeutung. Eine juristische Bewertung obliegt der Staatsanwaltschaft und dem hohen Gericht +### Anhang III: Glossar **Nutzer** : Der „Nutzer“ ist eine Person, die ein Gerät bedient und Daten von Speichermedien gelesen bzw. darauf geschrieben hat. Es muss sich nicht bei jeder Verwendung des Begriffs um ein und dieselbe Person handeln. Ob es sich beim Nutzer um die Beschuldigten handelt, ist aus technischer Sicht meist nicht eindeutig zu beantworten. Hinweise, die deutlich dafür oder dagegen sprechen, werden angeführt. Im Zusammenhang mit E-Mail-Empfänger- und Absender-Adressen wurden im Gutachten die zur jeweiligen Adresse gespeicherten Namen in der Dokumentation verwendet. **Browser-History**: Unter dem Begriff „Browser-History“ werden die von Webbrowsern gespeicherten Nutzungsdaten verstanden. Diese beinhalten besuchte Webseiten, durchgeführte Suchanfragen sowie Zeitstempel. Je nach eingesetztem Browser und Konfiguration können auch Details wie Verweildauer oder Downloadaktionen erfasst sein. **Datenträger**: Als Datenträger gelten alle elektronischen Medien, die zur Speicherung digitaler Inhalte geeignet sind. Dazu zählen unter anderem Festplatten (HDD/SSD), USB-Sticks, Speicherkarten oder optische Medien (CD/DVD). In diesem Gutachten wird der Begriff technisch und neutral verwendet. @@ -222,12 +308,9 @@ Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schr **Cracken von Passwörtern**: Das „Cracken“ von Passwörtern bezeichnet technische Verfahren zur Wiederherstellung vergessener oder verschlüsselter Zugangsdaten. Verwendet werden dabei Methoden wie Wörterbuchangriffe, Brute-Force-Verfahren oder die Nutzung zuvor extrahierter Passwort-Hashes. **Wörterbuchangriff**: Ein Wörterbuchangriff ist ein Verfahren zur Passwortwiederherstellung, bei dem eine vorbereitete Liste gängiger oder wahrscheinlich verwendeter Passwörter systematisch ausprobiert wird. Diese sogenannten „Wortlisten“ basieren häufig auf realen Datenlecks, typischen Mustern oder benutzerspezifischen Informationen (z. B. Namen, Geburtsdaten). Wörterbuchangriffe gelten als effizient, wenn schwache oder wiederverwendete Passwörter verwendet wurden. **Brute-Force-Verfahren**: Das Brute-Force-Verfahren bezeichnet eine systematische und vollständige Durchprobierung aller möglichen Zeichenkombinationen eines Passworts. Es garantiert bei ausreichend Zeit und Rechenleistung die Wiederherstellung des korrekten Passworts, ist jedoch bei langen und komplexen Passwörtern rechnerisch sehr aufwendig. Brute-Force-Angriffe kommen in der forensischen Praxis meist nur in begrenzter Form oder in Kombination mit Optimierungen (z. B. Masken, Regeln) zum Einsatz. -### Anhang III: # ToDo -- 4.3: Gelöschte Dateien -- Anlagen einfügen (Bilder) -- Anlage aus dem /media-Verzeichnis noch einfügen (korrupten Magic Bytes) -- **Glossar**: Mehr? +- Anlagen 2,3, 5 einfügen (Bilder) +- Timestamps für die Befehle --- # Notizen zur Erstellung der Abgabe (für uns)