![[dif-team-16.png]]

![[DIF.png]]

<br>

# <mark style="background: #70C3E7;">**Übungsblatt 4: Digitale Forensik – Logbuch**</mark>

<br>

## <mark style="background: #70C3E7;">**🗂️ Beweisstück**</mark>

- **Gerätetyp**: USB-Stick
- **Dateiname**: `vUSB.img`
- **Dateigröße**: `3 221 225 472 Bytes` ( 3.0 GiB Nach IEC )
- **Hash (MD5)**: `ccef24452b25da085bee1001ea0c8968`

<br>

## <mark style="background: #70C3E7;">**🛠️ Verwendete Tools**</mark>

- **Betriebssytem**: Kali Linux (Version: 2025.1a)
- **Tools**:
	- unzip _<font color="#777">(zip/unzip utility - Paket: unzip)</font>_
	- ll _<font color="#777">(ls -l alias)</font>_
	- fsstat  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
	- fls  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
	- icat  _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
	- identify _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_
	- convert _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_

---

## <mark style="background: #70C3E7;">**🧾 Analyse des Datenträger-Images „vUSB.img**</mark>

<br>

### <mark style="background: #5194AA;">**📦 1. Entgegennahme & Entpacken des Asservats**</mark>

Die untersuchte Datei wurde in einem komprimierten Archiv geliefert:

- **Dateiname:** `vUSB.zip`
- **Prüfsumme (MD5):** `511dcfe311b5512b93b493a1c0975c42`

Das Archiv wurde mit dem folgenden Befehl extrahiert:

```shell
unzip vUSB.zip
```

---

### <mark style="background: #5194AA;">**🧮 2. Dateisystemanalyse**</mark>

Zur strukturellen Analyse des Datenträgers wurde `fsstat` aus **The Sleuth Kit** verwendet:

```shell
fsstat vUSB.img
```

#### 🗂️ Dateisystem: FAT32

- **OEM Name:** `mkfs.fat`
- **Volume Label (Boot Sector):** `NO NAME`
- **Clustergröße:** `4096 Bytes`
- **Sektorgröße:** `512 Bytes`
- **Root Directory Cluster:** `2`
- **Dateisystembereich:** Sektor `0–6291455`
- **FAT-Bereiche:** 
  - FAT 0: Sektor `32–6167`
  - FAT 1: Sektor `6168–12303`
- **Datenbereich (Cluster):** Sektor `12304–6291455`

> **MD5 des Images:** `96c392140b683792e58ec4751c754000`

---

### <mark style="background: #5194AA;">**📁 3. Dateiinhaltsverzeichnis (Dateieinträge)**</mark>

Der Inhalt des Dateisystems wurde mit `fls` rekursiv gelistet:

```shell
fls -r -f fat vUSB.img
```

#### Gefundene Dateien:

| Inode     | Typ        | Name         |
|-----------|------------|--------------|
| 4         | regulär    | Bild1.jpg    |
| 6         | regulär    | Bild2.jpeg   |
| 8         | regulär    | Blue.png     |
| 100466435 | virtuell   | \$MBR        |
| 100466436 | virtuell   | \$FAT1       |
| 100466437 | virtuell   | \$FAT2       |
| 100466438 | virtuell   | \$OrphanFiles|

> 📎 **MD5 (Verzeichnisausgabe):** `49f870849abeeeb87d2f9e5cb5a89cef`

---

### <mark style="background: #5194AA;">**📤 4. Dateiextraktion vom Image**</mark>

Die Bilddateien wurden mithilfe von `icat` (ebenfalls aus The Sleuth Kit) extrahiert:

```shell
icat -f fat vUSB.img 4 > Bild1.jpg
icat -f fat vUSB.img 6 > Bild2.jpeg
icat -f fat vUSB.img 8 > Blue.png
```

#### 🖼️ Extrahierte Dateien & Integritätsprüfung:

| Dateiname    | Inode | MD5-Prüfsumme                         |
|--------------|-------|---------------------------------------|
| Bild1.jpg    | 4     | `692d82689730084d483ebc023f0f965f`    |
| Bild2.jpeg   | 6     | `bffdc6fbb6c2c05ee5650bbc3b51054a`    |
| Blue.png     | 8     | `45de8cedd915036360d4557cbc7483a3`    |

> 🔒 Die MD5-Hashes wurden direkt nach der Extraktion erzeugt und dienen der Verifikation der Unverändertheit.

---

### <mark style="background: #5194AA;">**🖌️ 5. Analyse und Bearbeitung der Bilddatei „Blue.png“**</mark>

Zur weiteren Untersuchung möglicher versteckter Informationen wurde das extrahierte Bild Blue.png analysiert. Zunächst wurde das Bild umbenannt und mit identify aus dem ImageMagick-Paket detailliert untersucht:

```shell
identify -verbose Blue_copy.png
```

<br>

**🧾 Wichtige Metadaten aus der Analyse:**

- **Bildgröße**: 1920 × 1080 Pixel
- **Farbraum**: sRGB
- **Farbtiefe**: 8-bit TrueColor
- **Anzahl Farben**: 2 (nahezu identische Blautöne)
- **Kommentar**: Created with GIMP
- **ICC-Profil**: GIMP built-in sRGB (Public Domain)
- **Originaler Zeitstempel (png:tIME)**: 2022-05-09T15:35:58Z
- **MD5-Signatur laut ImageMagick**: c0d39c9d8423a9acf95217f7c89fae9664f98711953559468c5d22cdb712e8b1


> **📊 Auffällig:** Das Bild besteht ausschließlich aus zwei sehr ähnlichen Blautönen:
> **#0000F4 (0,0,244)** und **#0000F5 (0,0,245)**
> Dies deutet auf eine gezielte Kodierung oder eine mögliche **Steganografie**-Technik hin.

<br>

Um diese Hypothese zu prüfen, wurde mit dem folgenden Befehl versucht, eine der Farben gezielt zu entfernen:

```shell
convert Blue_copy.png -fill transparent -opaque "srgb(0,0,244)" Blue_temp.png
```

<br>

> **🎯 Ziel:** Visualisierung möglicher versteckter Informationen, indem der Farbwert #0000F4 vollständig entfernt und durch Transparenz ersetzt wurde.

<br>

#### **🖼️ Ergebnis der Manipulation:**

![[Blue_temp.png]]