[[dif-team-16.png]]
[[DIF.png]]
# **Übungsblatt 4: Digitale Forensik – Logbuch**
## **🗂️ Beweisstück**
- **Gerätetyp**: USB-Stick
- **Dateiname**: `vUSB.img`
- **Dateigröße**: `3 221 225 472 Bytes` ( 3.0 GiB Nach IEC )
- **Hash (MD5)**: `ccef24452b25da085bee1001ea0c8968`
## **🛠️ Verwendete Tools**
- **Betriebssytem**: Kali Linux (Version: 2025.1a)
- **Tools**:
- unzip _(zip/unzip utility - Paket: unzip)_
- ll _(ls -l alias)_
- fsstat _(The Sleuth Kit – Paket: sleuthkit)_
- fls _(The Sleuth Kit – Paket: sleuthkit)_
- icat _(The Sleuth Kit – Paket: sleuthkit)_
- identify _(ImageMagick – Paket: imagemagick)_
- convert _(ImageMagick – Paket: imagemagick)_
---
## **🧾 Analyse des Datenträger-Images „vUSB.img**
### **📦 1. Entgegennahme & Entpacken des Asservats**
Die untersuchte Datei wurde in einem komprimierten Archiv geliefert:
- **Dateiname:** `vUSB.zip`
- **Prüfsumme (MD5):** `511dcfe311b5512b93b493a1c0975c42`
Das Archiv wurde mit dem folgenden Befehl extrahiert:
```shell
unzip vUSB.zip
```
---
### **🧮 2. Dateisystemanalyse**
Zur strukturellen Analyse des Datenträgers wurde `fsstat` aus **The Sleuth Kit** verwendet:
```shell
fsstat vUSB.img
```
#### 🗂️ Dateisystem: FAT32
- **OEM Name:** `mkfs.fat`
- **Volume Label (Boot Sector):** `NO NAME`
- **Clustergröße:** `4096 Bytes`
- **Sektorgröße:** `512 Bytes`
- **Root Directory Cluster:** `2`
- **Dateisystembereich:** Sektor `0–6291455`
- **FAT-Bereiche:**
- FAT 0: Sektor `32–6167`
- FAT 1: Sektor `6168–12303`
- **Datenbereich (Cluster):** Sektor `12304–6291455`
> **MD5 des Images:** `96c392140b683792e58ec4751c754000`
---
### **📁 3. Dateiinhaltsverzeichnis (Dateieinträge)**
Der Inhalt des Dateisystems wurde mit `fls` rekursiv gelistet:
```shell
fls -r -f fat vUSB.img
```
#### Gefundene Dateien:
| Inode | Typ | Name |
|-----------|------------|--------------|
| 4 | regulär | Bild1.jpg |
| 6 | regulär | Bild2.jpeg |
| 8 | regulär | Blue.png |
| 100466435 | virtuell | \$MBR |
| 100466436 | virtuell | \$FAT1 |
| 100466437 | virtuell | \$FAT2 |
| 100466438 | virtuell | \$OrphanFiles|
> 📎 **MD5 (Verzeichnisausgabe):** `49f870849abeeeb87d2f9e5cb5a89cef`
---
### **📤 4. Dateiextraktion vom Image**
Die Bilddateien wurden mithilfe von `icat` (ebenfalls aus The Sleuth Kit) extrahiert:
```shell
icat -f fat vUSB.img 4 > Bild1.jpg
icat -f fat vUSB.img 6 > Bild2.jpeg
icat -f fat vUSB.img 8 > Blue.png
```
#### 🖼️ Extrahierte Dateien & Integritätsprüfung:
| Dateiname | Inode | MD5-Prüfsumme |
|--------------|-------|---------------------------------------|
| Bild1.jpg | 4 | `692d82689730084d483ebc023f0f965f` |
| Bild2.jpeg | 6 | `bffdc6fbb6c2c05ee5650bbc3b51054a` |
| Blue.png | 8 | `45de8cedd915036360d4557cbc7483a3` |
> 🔒 Die MD5-Hashes wurden direkt nach der Extraktion erzeugt und dienen der Verifikation der Unverändertheit.
---
### **🖌️ 5. Analyse und Bearbeitung der Bilddatei „Blue.png“**
Zur weiteren Untersuchung möglicher versteckter Informationen wurde das extrahierte Bild Blue.png analysiert. Zunächst wurde das Bild umbenannt und mit identify aus dem ImageMagick-Paket detailliert untersucht:
```shell
identify -verbose Blue_copy.png
```
**🧾 Wichtige Metadaten aus der Analyse:**
- **Bildgröße**: 1920 × 1080 Pixel
- **Farbraum**: sRGB
- **Farbtiefe**: 8-bit TrueColor
- **Anzahl Farben**: 2 (nahezu identische Blautöne)
- **Kommentar**: Created with GIMP
- **ICC-Profil**: GIMP built-in sRGB (Public Domain)
- **Originaler Zeitstempel (png:tIME)**: 2022-05-09T15:35:58Z
- **MD5-Signatur laut ImageMagick**: c0d39c9d8423a9acf95217f7c89fae9664f98711953559468c5d22cdb712e8b1
> **📊 Auffällig:** Das Bild besteht ausschließlich aus zwei sehr ähnlichen Blautönen:
> **#0000F4 (0,0,244)** und **#0000F5 (0,0,245)**
> Dies deutet auf eine gezielte Kodierung oder eine mögliche **Steganografie**-Technik hin.
Um diese Hypothese zu prüfen, wurde mit dem folgenden Befehl versucht, eine der Farben gezielt zu entfernen:
```shell
convert Blue_copy.png -fill transparent -opaque "srgb(0,0,244)" Blue_temp.png
```
> **🎯 Ziel:** Visualisierung möglicher versteckter Informationen, indem der Farbwert #0000F4 vollständig entfernt und durch Transparenz ersetzt wurde.
#### **🖼️ Ergebnis der Manipulation:**
[[Blue_temp.png]]