DIF-Team-16/Gutachten.md

_Team 16: Viktor Linner (3008571), Niclas Frey (3004104)_
## 1. Untersuchungsauftrag
Die Auftraggeberin, die Generalstaatsanwaltschaft (Frau Oberstaatsanwältin Blitzgescheit), beauftragte mit dem Auftrag vom 26.06.2025 das Team 16 des Sachverständigenbüro "Finde die Wahrheit" mit der forensischen Auswertung von sichergestellten Beweismitteln. Insbesondere war zu prüfen, ob sich anhand der Beweismittel Dateien mit kinderpornographischen Inhalten feststellen lassen. Hierzu sollte geprüft werden, ob sich gegebenenfalls Nutzung und/oder Verbreitung besagter Inhalte durch die Beschuldigte nachweisen lasse. Desweiteren waren elektronische Kommunikationen wie E-Mails oder Chats aus dem Beweismittel zu extrahieren. Die vollständige Dokumentation des Auftrags finden Sie im Anschluss.
## 2. Asservate
Den übergebenen Beweismitteln wurden zunächst Lfd.-Nr. wie folgt zugeordnet:
- Festplatte mit Markierung "qcow2": Toshiba v63700 - A 500GB HDD-Festplatte - **Lfd.-Nr. 1** - **Intakt**
## 3. Ergebniszusammenfassung
Es wurde festgestellt,
1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr 1 der Beschuldigten FLIEGNER Google-Suchen nach vermutlich kinderpornographischen Inhalten zu finden sind (*Anlage 1*)
2. dass auf dem verschlüsselten Image auf dem Datenträger mit der Lfd.-Nr 1 im Verzeichnis `/media/barney/067E7AF632AA2E11/xxx` Bilder zu finden sind, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 2*)
3. dass sich auf dem Datenträger mit der Lfd.-Nr 1 gelöschte Dateien befinden, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 3*)
4. dass sich auf dem Datenträger mit der Lfd.-Nr 1 Einträge in der Datei `/home/barney/.local/share/recently-used.xbel` Hinweise auf Benutzung des verschlüsselten Images aus Punkt 2 befinden (*Anlage 4*)
5. dass sich auf dem Datenträger mit der Lfd.-Nr 1 eine korrupte Bilddatei befindet, nach derer Wiederherstellung festzustellen ist, dass es sich dabei vermutlich um eine kinderpornografische Darstellung handelt
## 4. Befund
_was haben wir wo gefunden und wie ordnen wir es ein?_
#### 4.1 Befund: Browser-History
Die Browser-History wurde aus der Datei ``./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite`` extrahiert. Bei der Datei handelt es sich um eine Datenbankdatei, die mithilfe eines Datenbankprogrammes untersucht werden konnte. Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser-History des Nutzers **barney** wieder:

| History-Eintrag | Suchbegriff                                                                       | Datum (UTC)                |
| --------------- | --------------------------------------------------------------------------------- | -------------------------- |
| 8               | ``hot cheerleader``                                                               | `Mon Jul 04 2022 16:47:08` |
| 10              | `hot cheerleader pics`                                                            | `Mon Jul 04 2022 16:47:27` |
| 12              | `sexy girls cheerleader`                                                          | `Tue Jul 01 2025 19:54:10` |
| 18              | Enthält Weiterleitung zur Suche nach `hot cheerleader` auf `www.shutterstock.com` | `Wed Jul 02 2025 19:54:18` |
Anhand der Browser-History lässt sich feststellen, dass mit dem Benutzeraccount `barney` solche Internet-Suchen getätigt wurden, die beabsichtigten, kinderpornografische Inhalte zu finden. Die vollständige Browser-History findet sich in *Anlage 1*. 
#### 4.2 Befund: Verschlüsseltes Image
Bei der Überprüfung der übergebenen Speichermedien der Beschuldigten FLIEGNER wurde ein verschlüsseltes Veracrypt-Image `/media/barney/067E7AF632AA2E11/xxx` festgestellt. Nach Wiederherstellung des zur Entschlüsselung benötigten Passworts konnte festgestellt werden, dass das Verzeichnis drei Bilddarstellungen enthält, die vermutlich als Kinderpornografie einzustufen sind. Die Bilddarstellungen sind in *Anlage 2* beigelegt.
Insbesondere ist anzumerken, dass das Passwort zur Entschlüsselung `littleGirls` lautet.
#### 4.3 Befund: Gelöschte Dateien
Weiterhin wurde bei der Überprüfung von FLIEGNER's Speichermedien eine große Menge an gelöschtem Bildmaterial festgestellt, welches wiederhergestellt werden konnte. Ein Screenshot mit einer auszugsweisen Übersicht über die Bilddateien ist in *Anlage 3* beigefügt. Die gesamten Bilddarstellungen sind in einem externen Speichermedium im Verzeichnis `recovered_files` abgespeichert und können Ihnen bei Bedarf übergeben werden.
#### 4.4 Befund: Kürzlich genutzte Dateien
In der Datei `/home/barney/.local/share/recently-used.xbel` konnten Nutzungsspuren der Verzeichnisse ``/media/barney/067E7AF632AA2E11/Bilder``
und `/media/barney/067E7AF632AA2E11/xxx` festgestellt werden, die Bildmaterial enthalten, das vermutlich als Kinderpornografie einzustufen ist.
#### 4.5 Befund: Korrupte Bilddatei
Im Verzeichnis `/media/barney/067E7AF632AA2E11/` wurde eine korrupte Bilddatei `c1.jpeg` identifiziert, die mit IT-forensischen Methoden wiederhergestellt werden konnte. Das Bildmaterial ist vermutlich als Kinderpornografie einzustufen und ist in *Anlage 5* beigelegt.
## 5. Untersuchungsgang
_Chronologische und sachliche Beschreibung der Vorgehensweise_
### Datensicherung
Am 02.07.2025 um 11:20 besuchten die Sachverständigen des Sachverständigenbüro "Finde die Wahrheit" Niclas Frey und Viktor Linner das Büro von Frau Oberstaatsanwältin Blitzgescheit zur Sicherung der zur Begutachtung relevanten Daten von allen betrefflichen Asservaten im Fall FLIEGNER. Das Asservat wurde als `img`-Datei auf einer `Toshiba v63700 - A 500GB` HDD-Festplatte bereitgestellt. Um sicherzustellen, dass die Daten auf dem Asservat nicht durch die Sachverständigen versehentlich oder absichtlich verändert werden können, wurde ein Write Blocker der Firma "**Logicube**" des Typs **WriteProtect USB wpu 201018 59°** genutzt, der es unmöglich machte, die Toshiba-Festplatte zu beschreiben.
Das für die begutachtung relevante Image wurde identifiert als Date `ForImage9.img`. Vor der Kopie des Images auf einen Datenträger der Sachverständigen wurde ein MD5-Hash des Images erstellt, um nach dem Kopiervorgang feststellen zu können, dass die Kopie identisch zum Original ist.
```PowerShell
PS D:\> dir
    Verzeichnis: D:\
Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----        01.07.2025     22:12    12748128256 ForImage9.img

PS D:\> Get-FileHash .\ForImage9.img -Algorithm MD5
Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             9C9570F6F648BA1D0FF14F8CD6AACF39                                       D:\ForImage9.img
```
Danach wurde das Image kopiert, und von der Kopie wurde ein MD5-Hash erstellt.
```PowerShell
PS D:\> Copy-Item .\ForImage9.img C:\Users\Vik\Desktop\ForImage9.img
PS D:\> Get-FileHash 'C:\Users\Vik\Desktop\ForImage9.img' -Algorithm MD5

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             9C9570F6F648BA1D0FF14F8CD6AACF39                                       C:\Users\Vik\Desktop\ForImage...
```

### Zugriff auf das Image
Um auf das Image zugreifen zu können, nutzten die Sachverständigen `qemu-utils`:
```bash
sudo apt install qemu-utils
sudo modprobe nbd max_part=8
sudo qemu-nbd --connect=/dev/nbd0 ForImage9.img --read-only
lsblk /dev/nbd0
```
### Passwort-Extraktion
Die Sachverständigen extrahierten zunächst die Passwörter aller Nutzer aus der Datei `/etc/shadow`:
```bash
sudo cat ./etc/shadow

pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4:19175:0:99999:7:::
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w.:19177:0:99999:7:::
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0:19177:0:99999:7:::
```
Die Hashes wurden in folgendem Format in einer Datei `passwd.txt` abgelegt:
```bash
pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0
```
Das Format dient dazu, die Passwörter nach dem Cracken der jeweiligen Nutzer\*in zuordnen zukönnen.
Danach wurde begonnen, die Passwörter mittels Wörterbuchangriff zu cracken.
```bash
curl -b "MoodleSessionmoodlehsma=016e963ec86fc2134833450bbebb24e0" https://moodle.hs-mannheim.de/pluginfile.php/479555/mod_resource/content/1/wordlist.txt -L > wordlist.txt

hashcat --user passwd.txt wordlist.txt
```
Nach circa zwei Stunden konnten zwei der drei Passwörter wiederhergestellt werden:
```
niels:xaiCh7fi
barney:ahM4Hood
```
Das Passwort des Nutzers `pc` konnte nach ausgiebigen Versuchen vom Sachverständigenbüro nicht wiederhergestellt werden. Allerdings ist auch anzumerken, dass bis auf eine passwortgeschützte KeePass-Datei keine weitere Stelle im Asservat gefunden wurde, bei der die Verwendung eines Passworts notwendig gewesen wäre.
### Browser-History
Der Kommandozeilenbefehl `find` wurde genutzt, um Browser-Histories des Browsers "Firefox" ausfindig zu machen:
```bash
find . -type f -name "places.sqlite"


./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite
./pc/snap/firefox/common/.mozilla/firefox/hsn68zcj.default/places.sqlite
```
In Folge dessen wurden alle Einträge der Datenbank nach Inhalten durchsucht. Die Tabelle `moz_places` enthielt die zuletzt besuchten Seiten des users `barney`:
_Auszug aus der Tabelle moz_places:_
```
select * from moz_places

1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
  Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
[...]
```
Die vollständige Browser-History ist in Anlage 1 enthalten.
Die neunte Spalte enhält Zahlen im Format `1656953208163056` (Beispiel aus der ersten Zeile der Ausgabe). Dies sind sogenannte 'Unix-Timestamps' - Zeitstempel in einem bestimmten Format. Diese Zeitstempel erlaubten es den Sachverständigen, die Browserdaten zeitlich einzuordnen.
### Kürzlich genutzte Dateien
Die Datei `/home/barney/.local/share/recently-used.xbel` gibt Auskunft über kürzlich genutzte Dateien des Users `barney`:

_Auszug aus /home/barney/.local/sharerecently-used.xbel:_
```xml
<?xml version="1.0" encoding="UTF-8"?>
<xbel version="1.0"
      xmlns:bookmark="http://www.freedesktop.org/standards/desktop-bookmarks"
      xmlns:mime="http://www.freedesktop.org/standards/shared-mime-info"
>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/Bilder" added="2022-07-04T16:30:33.590042Z" modified="2022-07-04T16:30:33.590048Z" visited="2022-07-04T16:30:33.590043Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="inode/directory"/>
        <bookmark:applications>
          <bookmark:application name="org.gnome.Nautilus" exec="&apos;org.gnome.Nautilus %u&apos;" modified="2022-07-04T16:30:33.590045Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/xxx" added="2022-07-04T16:34:14.977136Z" modified="2022-07-04T20:11:09.132408Z" visited="2022-07-04T16:34:14.977137Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/octet-stream"/>
        <bookmark:applications>
          <bookmark:application name="veracrypt" exec="&apos;veracrypt %u&apos;" modified="2022-07-04T20:11:09.132405Z" count="3"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///home/barney/Pass.kdbx" added="2022-07-04T20:10:16.757839Z" modified="2022-07-04T20:10:16.757851Z" visited="2022-07-04T20:10:16.757841Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/x-keepass2"/>
        <bookmark:applications>
          <bookmark:application name="keepassxc" exec="&apos;keepassxc %u&apos;" modified="2022-07-04T20:10:16.757845Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
[...]
```
Für die Begutachtung waren hierbei folgende Erkenntnisse zu gewinnen:
1. Die Datei `/media/barney/067E7AF632AA2E11/xxx`, deren Dateityp vorher nicht näher zu bestimmen war, wurde mit `veracrypt` bedient. Veracrypt ist ein Programm, welches zur Ver- oder Entschlüsselung von Dateien, Verzeichnissen oder ganzer Dateisysteme dient.
2. Nach Zugriff auf die Veracrypt-Datei wurde auf `/home/barney/Pass.kdbx` zugegriffen. Es stellte sich später heraus (siehe Abschnitt Keepass-Datenbank), dass diese Datei eine KeePass-Datenbank ist. Die Zeitliche Abfolge der Zugriffe auf diese beiden Dateien legte nahe, dass das Passwort, was zur Entschlüsselung der Veracrypt-Datei benötigt ist, in der KeePass-Datenbank hinterlegt ist.
### Keepass-Datenbank
Im Home-Verzeichnis des Users `barney` wurde eine passwortgeschützte KeePass-Datenbank gefunden:
```bash
ls
Bilder  Dokumente  Downloads  Musik  Öffentlich  Pass.kdbx  Schreibtisch  snap  Videos  Vorlagen
```
Die Datenbank ließ sich mit dem zuvor wiederhergestellen Passwort `ahM4Hood` öffnen.
In der Datenbank war ein einziges Passwort im Verzeichnis "Root" hinterlegt. Titel des Datenbankeintrags war "VeraCrypt". Das Passwort war "``littleGirls``".
### Veracrypt-verschlüsselte Datei
Die Datei `/media/barney/067E7AF632AA2E11/xxx` konnte mit dem aus der KeePass-Datenbank gewonnenen Passwort entschlüsselt und forensisch untersucht werden:
```bash
sudo mkdir /mnt/veracrypt && sudo veracrypt --text --mount xxx /mnt/veracrypt
```
### Korrupte Bilddatei
Die Bilddatei `Bilder/c1.jpg` wurde auf Dateikorruption untersucht, da sie die Endung einer Bilddatei besitzt, sich aber nicht als Bild öffnen ließ.
Um festzustellen, ob es sich wirklich um eine Bilddatei handelt, oder ob die Dateiendung womöglich nichts mit dem Inhalt der Datei zu tun hat (was auf Unix-Systemen durchaus sein kann), nutzten die Sachverständigen das Programm `xxd`:
```
xxd c1.jpeg | head -n 20
00000000: ddd8 ffe0 0010 4a46 4946 0001 0100 0001  ......JFIF......
00000010: 0001 0000 ffdb 0084 0009 0607 1210 1215  ................
00000020: 0f10 1216 1015 0f10 1010 0f15 1015 150f  ................
00000030: 1510 1015 1516 1615 1515 1518 1d28 2018  .............( .
```
Die ersten Bytes der Datei ähneln den bei einer jpeg-Datei erwarteten ersten Bytes `FF D8 FF E0 00`.
Um herauszufinden, ob die Datei sich bei Änderung der Bytes in die oben genannte Bytefolge als Bilddatei öffnen lässt, veränderten die Sachverständigen die Magic Bytes der Datei mit dem Hexeditor `wxhexeditor`.
Tatsächlich ließ sich nach der Änderung die Datei als Bild öffnen.
### Untersuchung auf gelöschte Dateien
Das tool `photorec` wurde genutzt, um alle auf dem Image vorhandenen gelöschten Dateien wiederherzustellen:
```bash
photorec /home/sf_kali_share/ForImage9
```
Dabei konnte eine große Menge Bilder wiederhergestellt werden, bei denen es sich vermutlich um kinderpornografisches Bildmaterial handelt.
Da die Anzahl der Bilder zu groß ist, um sie den Anlagen beizufügen, ist exemplarisch ein Screenshot aus einem Bild-Ansichts-Programm beigefügt. Die restlichen Darstellungen haben wir für Sie in einem externen Datenträger gesichert, den wir Ihnen auf Anfrage gerne bereitstellen.
## 6. Anlagen
### Anlage 1: Vollständige Browser-History des users `barney`
```
1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
  Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
4|https://support.mozilla.org/kb/customize-firefox-controls-buttons-and-toolbars?utm_source=firefox-browser&utm_medium=default-bookmarks&utm_campaign=customize||gro.allizom.troppus.|0|0|0|137||fzS0A1vSmaCS|1|47359956450016||||2
5|https://www.mozilla.org/contribute/||gro.allizom.www.|0|0|0|137||ZUp2Xs0my0fc|1|47357364218428||||1
6|https://www.mozilla.org/about/||gro.allizom.www.|0|0|0|137||PxGc7HWdpK3u|1|47357608426557||||1
7|https://www.mozilla.org/firefox/central/||gro.allizom.www.|0|0|0|137||SmvTP_gRfA1X|1|47359969280417||||1
8|https://www.google.com/search?channel=fs&client=ubuntu&q=hot+chearleader|hot chearleader - Google Suche|moc.elgoog.www.|1|0|1|1950|1656953228105571|5k6iUfwoYDt_|0|47359856985002||||3
10|https://www.google.com/search?q=hot+cheerleader+pics&client=ubuntu&hs=Urn&channel=fs&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjpo6Tq19_4AhUz57sIHUuNAVoQ_AUoAXoECAEQAw&biw=950&bih=656&dpr=1|hot cheerleader pics – Google Suche|moc.elgoog.www.|1|0|0|98|1656953247155094|WjfpN6MdgTYb|0|47357695506675||||3
11|https://www.google.com/|Google|moc.elgoog.www.|1|0|1|2000|1751399635782628|VO9fMBiQ_Qe3|0|47357433249528||||3
12|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz|Google Search|moc.elgoog.www.|1|0|0|100|1751399650395128|VwD1rGOId0VP|0|47358104091540||||3
13|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz&sei=4jxkaILdFq3Xxc8PkYvV0Q0|sexy girls chearleeder - Google Suche|moc.elgoog.www.|1|0|0|100|1751399650869426|oD-XfeUoeZN9|0|47357505484614||||3
14|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1|sexy girls cheerleader - Google Suche|moc.elgoog.www.|2|0|0|200|1751399794152616|84PG8mjR9eFS|0|47359998535018||||3
15|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=cxWEukMoNf2AeM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399681729745|oKM9ukKGCqYk|0|47359365193005||||3
16|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=PdmE7HJ-gy1JZM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399736003286|mvushxzbfYqP|0|47357381351553||||3
18|https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.shutterstock.com%2Fde%2Fsearch%2Fhot-cheerleader&psig=AOvVaw1jVI9MPGMcs8DtCnFhnflL&ust=1751486058108000&source=images&cd=vfe&opi=89978449&ved=0CBQQjRxqFwoTCNjdlZ-4nI4DFQAAAAAdAAAAABAS||moc.elgoog.www.|1|1|0|25|1751399857179623|-VXBlm6v3hA9|0|47358059237094||||3
```

### Anlage 2: Inhalt des verschlüsselten Veracrypt-Image
### Anlage 3: Gelöschtes Bildmaterial

### Anlage 4: Datei ``/home/barney/.local/share/recently-used.xbel``
```xml
<?xml version="1.0" encoding="UTF-8"?>
<xbel version="1.0"
      xmlns:bookmark="http://www.freedesktop.org/standards/desktop-bookmarks"
      xmlns:mime="http://www.freedesktop.org/standards/shared-mime-info"
>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/Bilder" added="2022-07-04T16:30:33.590042Z" modified="2022-07-04T16:30:33.590048Z" visited="2022-07-04T16:30:33.590043Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="inode/directory"/>
        <bookmark:applications>
          <bookmark:application name="org.gnome.Nautilus" exec="&apos;org.gnome.Nautilus %u&apos;" modified="2022-07-04T16:30:33.590045Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/xxx" added="2022-07-04T16:34:14.977136Z" modified="2022-07-04T20:11:09.132408Z" visited="2022-07-04T16:34:14.977137Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/octet-stream"/>
        <bookmark:applications>
          <bookmark:application name="veracrypt" exec="&apos;veracrypt %u&apos;" modified="2022-07-04T20:11:09.132405Z" count="3"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///home/barney/Pass.kdbx" added="2022-07-04T20:10:16.757839Z" modified="2022-07-04T20:10:16.757851Z" visited="2022-07-04T20:10:16.757841Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/x-keepass2"/>
        <bookmark:applications>
          <bookmark:application name="keepassxc" exec="&apos;keepassxc %u&apos;" modified="2022-07-04T20:10:16.757845Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///home/barney/Dokumente/Annual_Report.odp" added="2025-07-01T20:06:39.710911Z" modified="2025-07-01T20:06:39.710943Z" visited="2025-07-01T20:06:39.710925Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/vnd.oasis.opendocument.presentation"/>
        <bookmark:applications>
          <bookmark:application name="org.gnome.Nautilus" exec="&apos;libreoffice --impress %U&apos;" modified="2025-07-01T20:06:39.710930Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///home/barney/Dokumente/Annual_Report_Entwurf.pptx" added="2025-07-01T20:10:06.623166Z" modified="2025-07-01T20:10:06.623196Z" visited="2025-07-01T20:10:06.623168Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/vnd.openxmlformats-officedocument.presentationml.presentation"/>
        <bookmark:applications>
          <bookmark:application name="org.gnome.Nautilus" exec="&apos;libreoffice --impress %U&apos;" modified="2025-07-01T20:10:06.623178Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
</xbel>
```
### Anlage 5: Wiederhergestelltes Bildmaterial

## 7. Anhang

### Anhang I: Grundsätzliche Vorgehensweisen
#### I.I. Behandlung der Asservate
##### I.I.1 Generelle Anmerkungen
Die Auswertung von Datenträgern erfolgt nach forensischen Gesichtspunkten und auf dem aktuellen Stand der Technik. An Hard- und Softwareprodukten werden von Ermittlungs-, Finanz- und Steuerbehörden weltweit genutzte und gerichtlich anerkannte Produkte unter Windows und LINUX eingesetzt.
Die forensische Auswertung von Datenträgern geschieht unter hohen Sicherheitsvorkehrungen ausschließlich durch forensisch geschultes Personal in  abgesicherten und beaufsichtigten Räumen.
Auf veränderbare Originaldatenträger wird (soweit technisch möglich) nur mittels Spezialhardware zugegriffen, die ein Beschreiben der Originaldatenträger verhindern.
Die Auswertung geschieht mittels spezieller Software. Dabei werden – falls das durch den Auftraggeber aus Kostengründen nicht ausdrücklich ungewünscht ist – auch alle Formen von gelöschten und teilweise überschriebenen Daten sowie spezielle, mit üblichen Mitteln nicht zugängliche oder versteckte Dateien/Bereiche berücksichtigt.
##### I.I.2 Hardware-Write-Blocker
Für den Zugriff auf Beweisdatenträger, welche nicht auf Grund Ihrer Art selbst schreibgeschützt sind, wurden sogenannte Hardware-Write-Blocker verwendet, die durch Ihren speziellen elektronischen Aufbau den schreibenden Zugriff auf den Datenträger in jedem Fall verhindern und somit die Integrität der gesicherten Daten gewährleisten. Hierzu fand ein Gerät der Firma "**Logicube**" des Typs **WriteProtect USB wpu 201018 59°** Verwendung.
Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schreibzugriffe ist so mit ausgeschlossen.
### Anhang II: Wichtige Lesehinweise zum Gutachten
**Inhalt**: Es werden nicht alle negativen Untersuchungen dokumentiert
**Juristische Begriffe**: Falls ein juristischer Begriff Verwendung findet, geschieht das ungewollt und in der umgangssprachlichen Bedeutung. Eine juristische Bewertung obliegt der Staatsanwaltschaft und dem hohen Gericht
### Anhang III: Glossar
**Nutzer** : Der „Nutzer“ ist eine Person, die ein Gerät bedient und Daten von Speichermedien gelesen bzw. darauf geschrieben hat. Es muss sich nicht bei jeder Verwendung des Begriffs um ein und dieselbe Person handeln. Ob es sich beim Nutzer um die Beschuldigten handelt, ist aus technischer Sicht meist nicht eindeutig zu beantworten. Hinweise, die deutlich dafür oder dagegen sprechen, werden angeführt. Im Zusammenhang mit E-Mail-Empfänger- und Absender-Adressen wurden im Gutachten die zur jeweiligen Adresse gespeicherten Namen in der Dokumentation verwendet.
**Browser-History**: Unter dem Begriff „Browser-History“ werden die von Webbrowsern gespeicherten Nutzungsdaten verstanden. Diese beinhalten besuchte Webseiten, durchgeführte Suchanfragen sowie Zeitstempel. Je nach eingesetztem Browser und Konfiguration können auch Details wie Verweildauer oder Downloadaktionen erfasst sein.
**Datenträger**: Als Datenträger gelten alle elektronischen Medien, die zur Speicherung digitaler Inhalte geeignet sind. Dazu zählen unter anderem Festplatten (HDD/SSD), USB-Sticks, Speicherkarten oder optische Medien (CD/DVD). In diesem Gutachten wird der Begriff technisch und neutral verwendet.
**Image**: Ein Image bezeichnet eine bitweise Kopie eines Datenträgers oder eines Partitionsteils. Es handelt sich dabei um ein exaktes Abbild inklusive aller Sektoren, gelöschter Dateien, freier Bereiche sowie versteckter Partitionen.
**Verschlüsselung**: Datenverschlüsselung ist ein technisches Verfahren, bei dem Informationen mithilfe eines Schlüssels in eine unlesbare Form überführt werden.
**Cracken von Passwörtern**: Das „Cracken“ von Passwörtern bezeichnet technische Verfahren zur Wiederherstellung vergessener oder verschlüsselter Zugangsdaten. Verwendet werden dabei Methoden wie Wörterbuchangriffe, Brute-Force-Verfahren oder die Nutzung zuvor extrahierter Passwort-Hashes.
**Wörterbuchangriff**: Ein Wörterbuchangriff ist ein Verfahren zur Passwortwiederherstellung, bei dem eine vorbereitete Liste gängiger oder wahrscheinlich verwendeter Passwörter systematisch ausprobiert wird. Diese sogenannten „Wortlisten“ basieren häufig auf realen Datenlecks, typischen Mustern oder benutzerspezifischen Informationen (z. B. Namen, Geburtsdaten). Wörterbuchangriffe gelten als effizient, wenn schwache oder wiederverwendete Passwörter verwendet wurden.
**Brute-Force-Verfahren**: Das Brute-Force-Verfahren bezeichnet eine systematische und vollständige Durchprobierung aller möglichen Zeichenkombinationen eines Passworts. Es garantiert bei ausreichend Zeit und Rechenleistung die Wiederherstellung des korrekten Passworts, ist jedoch bei langen und komplexen Passwörtern rechnerisch sehr aufwendig. Brute-Force-Angriffe kommen in der forensischen Praxis meist nur in begrenzter Form oder in Kombination mit Optimierungen (z. B. Masken, Regeln) zum Einsatz.
# ToDo
- Anlagen 2,3, 5 einfügen (Bilder)
- Timestamps für die Befehle

---
# Notizen zur Erstellung der Abgabe (für uns)
### Formatierung
- in der Kopfzeile **jeder** Seite sollen **Namen, Matrikelnummer und Teamnummer**
### Aufbau
(siehe Foliensatz "6_RolleSachverstaendigerZeuge.pdf" ab Folie 42)
- kurze Passage zu Beginn: Inhalt des Auftrags, Zeitpunkt, Name des Auftraggebers
- Benennung der übergebenen Asservate
- 5-stufiger pyramidenförmiger Aufbau
	1. Beantwortung der vom Auftraggeber gestellten Fragen in knapper, prägnanter Form
	2. Zusammenfassung der Egebinsse der Begutachtung in kurzer, übersichtlicher Art und Weise
	3. Eigentlicher Befund (nimmt den größten Raum des Gutachtens ein)
	4. Bewertung der gutachterlich festgestellten Fakten
		- Fakten und Schlussfolgerungen separieren!
		- Gliederung sowohl thematisch als auch nach Asservaten (für uns nicht relevant)
- Alternativ: Angabe zu Aufbau auf Folie 59:
	1. Untersuchungsauftrag
	2. Asservate
	3. Ergebniszusammenfassung
	4. Befund
	5. Methodik
	6. Untersuchungsgang (?)
	7. Auswertung und Rückgabe der Asservate, Löschen von übergebenen Sicherungskopien
	8. Glossar
### Allgemein
Trennen zwischen
- inkriminierten Daten: liefern Aussagen zu potenziellem Besitz
- Rechnernutzungsspuren: liefern Indizien für mehr oder weniger gezielte Handlungen/Kenntnis des Nutzers
- Aussagen des Nutzers oder dritter (Chats, Mails)