166 lines
5.0 KiB
Markdown
166 lines
5.0 KiB
Markdown
![[dif-team-16.png]]
|
||
|
||
![[DIF.png]]
|
||
|
||
<br>
|
||
|
||
# <mark style="background: #70C3E7;">**Übungsblatt 4: Digitale Forensik – Logbuch**</mark>
|
||
|
||
<br>
|
||
|
||
## <mark style="background: #70C3E7;">**🗂️ Beweisstück**</mark>
|
||
|
||
- **Gerätetyp**: USB-Stick
|
||
- **Dateiname**: `vUSB.img`
|
||
- **Dateigröße**: `3 221 225 472 Bytes` ( 3.0 GiB Nach IEC )
|
||
- **Hash (MD5)**: `ccef24452b25da085bee1001ea0c8968`
|
||
|
||
<br>
|
||
|
||
## <mark style="background: #70C3E7;">**🛠️ Verwendete Tools**</mark>
|
||
|
||
- **Betriebssytem**: Kali Linux (Version: 2025.1a)
|
||
- **Tools**:
|
||
- unzip _<font color="#777">(zip/unzip utility - Paket: unzip)</font>_
|
||
- ll _<font color="#777">(ls -l alias)</font>_
|
||
- fsstat _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
|
||
- fls _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
|
||
- icat _<font color="#777">(The Sleuth Kit – Paket: sleuthkit)</font>_
|
||
- identify _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_
|
||
- convert _<font color="#777">(ImageMagick – Paket: imagemagick)</font>_
|
||
|
||
---
|
||
|
||
## <mark style="background: #70C3E7;">**🧾 Analyse des Datenträger-Images „vUSB.img**</mark>
|
||
|
||
<br>
|
||
|
||
### <mark style="background: #5194AA;">**📦 1. Entgegennahme & Entpacken des Asservats**</mark>
|
||
|
||
Die untersuchte Datei wurde in einem komprimierten Archiv geliefert:
|
||
|
||
- **Dateiname:** `vUSB.zip`
|
||
- **Prüfsumme (MD5):** `511dcfe311b5512b93b493a1c0975c42`
|
||
|
||
Das Archiv wurde mit dem folgenden Befehl extrahiert:
|
||
|
||
```shell
|
||
unzip vUSB.zip
|
||
```
|
||
|
||
---
|
||
|
||
### <mark style="background: #5194AA;">**🧮 2. Dateisystemanalyse**</mark>
|
||
|
||
Zur strukturellen Analyse des Datenträgers wurde `fsstat` aus **The Sleuth Kit** verwendet:
|
||
|
||
```shell
|
||
fsstat vUSB.img
|
||
```
|
||
|
||
#### 🗂️ Dateisystem: FAT32
|
||
|
||
- **OEM Name:** `mkfs.fat`
|
||
- **Volume Label (Boot Sector):** `NO NAME`
|
||
- **Clustergröße:** `4096 Bytes`
|
||
- **Sektorgröße:** `512 Bytes`
|
||
- **Root Directory Cluster:** `2`
|
||
- **Dateisystembereich:** Sektor `0–6291455`
|
||
- **FAT-Bereiche:**
|
||
- FAT 0: Sektor `32–6167`
|
||
- FAT 1: Sektor `6168–12303`
|
||
- **Datenbereich (Cluster):** Sektor `12304–6291455`
|
||
|
||
> **MD5 des Images:** `96c392140b683792e58ec4751c754000`
|
||
|
||
---
|
||
|
||
### <mark style="background: #5194AA;">**📁 3. Dateiinhaltsverzeichnis (Dateieinträge)**</mark>
|
||
|
||
Der Inhalt des Dateisystems wurde mit `fls` rekursiv gelistet:
|
||
|
||
```shell
|
||
fls -r -f fat vUSB.img
|
||
```
|
||
|
||
#### Gefundene Dateien:
|
||
|
||
| Inode | Typ | Name |
|
||
|-----------|------------|--------------|
|
||
| 4 | regulär | Bild1.jpg |
|
||
| 6 | regulär | Bild2.jpeg |
|
||
| 8 | regulär | Blue.png |
|
||
| 100466435 | virtuell | \$MBR |
|
||
| 100466436 | virtuell | \$FAT1 |
|
||
| 100466437 | virtuell | \$FAT2 |
|
||
| 100466438 | virtuell | \$OrphanFiles|
|
||
|
||
> 📎 **MD5 (Verzeichnisausgabe):** `49f870849abeeeb87d2f9e5cb5a89cef`
|
||
|
||
---
|
||
|
||
### <mark style="background: #5194AA;">**📤 4. Dateiextraktion vom Image**</mark>
|
||
|
||
Die Bilddateien wurden mithilfe von `icat` (ebenfalls aus The Sleuth Kit) extrahiert:
|
||
|
||
```shell
|
||
icat -f fat vUSB.img 4 > Bild1.jpg
|
||
icat -f fat vUSB.img 6 > Bild2.jpeg
|
||
icat -f fat vUSB.img 8 > Blue.png
|
||
```
|
||
|
||
#### 🖼️ Extrahierte Dateien & Integritätsprüfung:
|
||
|
||
| Dateiname | Inode | MD5-Prüfsumme |
|
||
|--------------|-------|---------------------------------------|
|
||
| Bild1.jpg | 4 | `692d82689730084d483ebc023f0f965f` |
|
||
| Bild2.jpeg | 6 | `bffdc6fbb6c2c05ee5650bbc3b51054a` |
|
||
| Blue.png | 8 | `45de8cedd915036360d4557cbc7483a3` |
|
||
|
||
> 🔒 Die MD5-Hashes wurden direkt nach der Extraktion erzeugt und dienen der Verifikation der Unverändertheit.
|
||
|
||
---
|
||
|
||
### <mark style="background: #5194AA;">**🖌️ 5. Analyse und Bearbeitung der Bilddatei „Blue.png“**</mark>
|
||
|
||
Zur weiteren Untersuchung möglicher versteckter Informationen wurde das extrahierte Bild Blue.png analysiert. Zunächst wurde das Bild umbenannt und mit identify aus dem ImageMagick-Paket detailliert untersucht:
|
||
|
||
```shell
|
||
identify -verbose Blue_copy.png
|
||
```
|
||
|
||
<br>
|
||
|
||
**🧾 Wichtige Metadaten aus der Analyse:**
|
||
|
||
- **Bildgröße**: 1920 × 1080 Pixel
|
||
- **Farbraum**: sRGB
|
||
- **Farbtiefe**: 8-bit TrueColor
|
||
- **Anzahl Farben**: 2 (nahezu identische Blautöne)
|
||
- **Kommentar**: Created with GIMP
|
||
- **ICC-Profil**: GIMP built-in sRGB (Public Domain)
|
||
- **Originaler Zeitstempel (png:tIME)**: 2022-05-09T15:35:58Z
|
||
- **MD5-Signatur laut ImageMagick**: c0d39c9d8423a9acf95217f7c89fae9664f98711953559468c5d22cdb712e8b1
|
||
|
||
|
||
> **📊 Auffällig:** Das Bild besteht ausschließlich aus zwei sehr ähnlichen Blautönen:
|
||
> **#0000F4 (0,0,244)** und **#0000F5 (0,0,245)**
|
||
> Dies deutet auf eine gezielte Kodierung oder eine mögliche **Steganografie**-Technik hin.
|
||
|
||
<br>
|
||
|
||
Um diese Hypothese zu prüfen, wurde mit dem folgenden Befehl versucht, eine der Farben gezielt zu entfernen:
|
||
|
||
```shell
|
||
convert Blue_copy.png -fill transparent -opaque "srgb(0,0,244)" Blue_temp.png
|
||
```
|
||
|
||
<br>
|
||
|
||
> **🎯 Ziel:** Visualisierung möglicher versteckter Informationen, indem der Farbwert #0000F4 vollständig entfernt und durch Transparenz ersetzt wurde.
|
||
|
||
<br>
|
||
|
||
#### **🖼️ Ergebnis der Manipulation:**
|
||
|
||
![[Blue_temp.png]] |