3008571
/
DIF-Team-16
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
DIF-Team-16/Gutachten_V2.md

990 lines
48 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters!

This file contains invisible Unicode characters that may be processed differently from what appears below. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to reveal hidden characters.

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
<div style="display:flex;justify-content:center;align-items:center;">
<img src="Gutachten_Bilder/logo.png" width="300">
</div>
<br><br>
<div style="font-size:14px">
Technische Hochschule Mannheim Forensiklabor <span style="margin:0 0.5em;">·</span> CSB/IMB/IB <span style="margin:0 0.5em;">·</span> D-420815 Forum
<div>
<br><br>
<div style="display: flex; align-items: flex-start; width: 100%; font-family: sans-serif;">
<!-- Linker Block ganz links -->
<div style="font-size:26px">
Sachverständige/r<br>
<strong>Team 16</strong>
</div>
<!-- Rechter Block ganz rechts -->
<div style="margin-left: auto; text-align: left;">
<div style="display: flex; align-items: center; margin-bottom: 4px;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">Datum</div>
<div><strong>20.07.2025</strong></div>
</div>
<div style="display: flex; align-items: center; margin-bottom: 4px;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">Büro</div>
<div><strong>Finde die Wahrheit</strong></div>
</div>
<div style="display: flex; align-items: center; margin-bottom: 4px;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">Name</div>
<div><strong>Team 16</strong></div>
</div>
<div style="display: flex; align-items: center; margin-bottom: 4px;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">Durchwahl</div>
<div><strong>0621 / 292 - 8745</strong></div>
</div>
<div style="display: flex; align-items: center; margin-bottom: 4px;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">LVN</div>
<div><strong>0621-2025-4832</strong></div>
</div>
<div style="display: flex; align-items: center;">
<div style="min-width: 160px; text-align: right; padding-right: 10px;">Aktenzeichen</div>
<div><strong>S-125 Js 938/25</strong></div>
</div>
<div style="text-align: right; margin-top: 5px; margin-left: 160px;">
(Bitte bei Antwort angeben)
</div>
</div>
</div>
<br><br><br><br>
**Beschuldigt: Deborah FLIEGNER, geb. 18.10.1949, wegen 184d StGB**
**wohnhaft Müllerweg 37, 25325 Luckau**
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 1. Auftrag
<br>
Die Auftraggeberin, die Generalstaatsanwaltschaft (Frau Oberstaatsanwältin Blitzgescheit), beauftragte mit dem Auftrag vom 26.06.2025 das Team 16 des Sachverständigenbüro "Finde die Wahrheit" mit der forensischen Auswertung von sichergestellten Beweismitteln. Insbesondere war zu prüfen, ob sich anhand der Beweismittel Dateien mit kinderpornographischen Inhalten feststellen lassen. Hierzu sollte geprüft werden, ob sich gegebenenfalls Nutzung und/oder Verbreitung besagter Inhalte durch die Beschuldigte nachweisen lasse. Desweiteren waren elektronische Kommunikationen wie E-Mails oder Chats aus dem Beweismittel zu extrahieren. Die vollständige Dokumentation des Auftrags finden Sie im Anschluss.
---
## 2. Anlagen
- 1x USB-Festplatte mit Markierung "qcow2": Toshiba v63700 - A 500GB HDD-Festplatte - **Ass. Lfd.-Nr. 0.1** - **Intakt**
<div style="display: flex; justify-content: space-between; gap: 20px;">
<img src="Gutachten_Bilder/toshiba_f.png" alt="Vorderseite" style="width: 48%;">
<img src="Gutachten_Bilder/toshiba_r.png" alt="Rückseite" style="width: 48%;">
</div>
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 3. Ergebniszusammenfassung
Es wurde festgestellt:
1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr. 1 der Beschuldigten FLIEGNER Google-Suchanfragen dokumentiert sind, die auf ein Interesse an Darstellungen von minderjährigen Personen in sexualisiertem Kontext hindeuten (*Anlage 1*),
2. dass auf dem entschlüsselten Container-Image auf dem Datenträger mit der Lfd.-Nr. 1 im Verzeichnis `/media/barney/067E7AF632AA2E11/xxx` Bilddateien enthalten sind, die Personen mit kindlichem Erscheinungsbild in suggestiven Posen zeigen (*Anlage 2*),
3. dass sich auf dem Datenträger mit der Lfd.-Nr. 1 gelöschte Bilddateien befanden, die durch Wiederherstellung zugänglich gemacht werden konnten und vergleichbare Inhalte aufweisen (*Anlage 3*),
4. dass Einträge in der Datei `/home/barney/.local/share/recently-used.xbel` Hinweise auf eine Nutzung des verschlüsselten Containers sowie der zugehörigen Keepass-Datenbank enthalten (*Anlage 4*),
5. dass sich auf dem Datenträger mit der Lfd.-Nr. 1 eine beschädigte JPEG-Datei befand, die nach Reparatur geöffnet werden konnte und eine Darstellung enthielt, die den oben genannten Bildern inhaltlich entspricht.
6. dass der Container mit VeraCrypt verschlüsselt war und durch ein Passwort gesichert war, das durch Analyse einer auf dem System befindlichen KeePass-Datenbank ermittelt werden konnte (*Anlage 4*).
7. dass die betreffenden Bilddateien sich in einem Verzeichnis mit der Bezeichnung „/xxx/“ befanden, was auf eine gezielte Benennung oder Verschleierung hindeuten könnte.
Darüber hinaus konnten keine Hinweise auf eine Verbreitung der sichergestellten Dateien festgestellt werden.  
Weder Upload-Vorgänge noch versendete Anhänge oder Einbindungen in E-Mails oder andere Kommunikationskanäle waren nachweisbar.
Ebenso wurden keine gespeicherten E-Mails oder Chatverläufe aufgefunden. Hinweise auf elektronische Kommunikation mit Bezug zum Asservat lagen nicht vor.
<div style="display: flex; justify-content: space-between; align-items: flex-end; flex-wrap: nowrap; margin-top: 2em;">
<!-- Marwe Saai -->
<div style="position: relative; width: 30%; max-width: 200px; height: 150px; text-align: center;">
<!-- Linie -->
<div style="
position: absolute;
bottom: 40px;
left: 0;
width: 100%;
border-top: 1px solid #fff;
z-index: 1;
"></div>
<!-- Signatur-Bild -->
<img
src="Unterschriften/msaai.png"
alt="Unterschrift Marwe Saai"
style="
position: absolute;
bottom: 40px;
left: 0;
width: 100%;
z-index: 2;
"
/>
<!-- Name -->
<div style="
position: absolute;
bottom: 0;
left: 0;
width: 100%;
font-style: italic;
">Marwe Saai</div>
</div>
<!-- Viktor Linner -->
<div style="position: relative; width: 30%; max-width: 200px; height: 150px; text-align: center;">
<div style="
position: absolute;
bottom: 40px;
left: 0;
width: 100%;
border-top: 1px solid #fff;
z-index: 1;
"></div>
<img
src="Unterschriften/vlinner.png"
alt="Unterschrift Viktor Linner"
style="
position: absolute;
bottom: 40px;
left: 0;
width: 100%;
z-index: 2;
"
/>
<div style="
position: absolute;
bottom: 0;
left: 0;
width: 100%;
font-style: italic;
">Viktor Linner</div>
</div>
<!-- Niclas Frey -->
<div style="position: relative; width: 30%; max-width: 200px; height: 150px; text-align: center;">
<div style="
position: absolute;
bottom: 40px;
left: 0;
width: 100%;
border-top: 1px solid #fff;
z-index: 1;
"></div>
<img
src="Unterschriften/nfrey.png"
alt="Unterschrift Niclas Frey"
style="
position: absolute;
bottom: 5px;
left: 0;
width: 100%;
z-index: 2;
"
/>
<div style="
position: absolute;
bottom: 0;
left: 0;
width: 100%;
font-style: italic;
z-index: 3;
">Niclas Frey</div>
</div>
</div>
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 4. Sicherung der Datenträger
Von dem Asservat werden forensische 1:1 Abbilder erstellt.<br>
Diese sog. Images werden für die Untersuchung verwendet. Die schreibgeschützten Originaldatenträger werden nicht weiter herangezogen. Bei dem in Asservat 0.1 USB-Gerät handelt es sich um einen Datenträger.<br><br>
Das gefertigte Abbild ist nach HASH-Abgleich identisch mit dem Originalasservat. Die Dokumentation der Sicherung ist in digitaler Form hinterlegt.
---
## 5. Betriebssystem, Benutzerkonten
### 5.1 Kerndaten zu dem Betriebssystem (OS)
Auf dem Asservat 0.1 ist Ubuntu-OS installiert:
| **Feld** | **Wert** |
|---------------------|------------------------------------------------|
| Computer Name | pc-Standard-PC-Q35-ICH9-2009 |
| Owner | *(leer)* |
| Version | Ubuntu 22.04 LTS |
| Time zone | Europe/Berlin |
| Installation | 2022-07-01 14:30:12.123456789 +0000 |
| Upgrade | 2025-07-01 21:42:35.123456789 +0000 |
| Last shutdown | 2025-07-04 22:11:46.123456789 +0000 |
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 6. Methodik
Die nachfolgende Methodik beschreibt das übergreifende Vorgehen des Sachverständigenteams bei der Begutachtung. Sie umfasst die eingesetzten Werkzeuge, Sicherheitsvorkehrungen, forensischen Prinzipien sowie technische Maßnahmen zur Wahrung der Integrität und Nachvollziehbarkeit.
### 6.1 Arbeitsumgebung und Grundprinzipien
Die Auswertung erfolgte ausschließlich auf einer abgesicherten Linux-Umgebung (Kali Linux 2025.2). Der originale Datenträger wurde niemals schreibend eingebunden. Alle Arbeitsschritte wurden auf forensischen 1:1-Abbildern durchgeführt, deren Integrität über Prüfsummenverfahren sichergestellt wurde.
Die Verarbeitung erfolgte ausschließlich im Terminal bzw. mit minimalistischen Tools ohne Automatisierung. Sensible Operationen (z.B. Passwortextraktion, Dateiwiederherstellung, Containeröffnung) wurden manuell protokolliert. Die verwendete Umgebung war physisch vom Internet getrennt.
**Forensische Grundprinzipien:**
- Keine Änderungen am Originaldatenträger
- Arbeiten ausschließlich auf Kopien
- Lückenlose Hash-basierte Integritätsprüfung
- Nachvollziehbare und dokumentierte Befundpfade
- Verwendung gerichtlich anerkannter oder in der Praxis etablierter Tools
---
### 6.2 Versionierte Werkzeuge
Die nachfolgend aufgeführten Werkzeuge wurden zur Analyse verwendet. Alle wurden entweder aus offiziellen Paketquellen installiert oder über offizielle Quellen heruntergeladen. Die jeweilige Version zum Zeitpunkt der Untersuchung ist dokumentiert:
<table style="font-size: 0.75em; line-height: 1.6em; width: auto;">
<thead>
<tr>
<th style="text-align:left;">Tool</th>
<th style="text-align:left;">Version</th>
</tr>
</thead>
<tbody>
<tr><td><strong>qemu-nbd</strong> (qemu-utils)</td><td>9.2.92 (Debian 1:10.0.0~rc2+ds-2)</td></tr>
<tr><td><strong>PhotoRec</strong></td><td>7.2 (February 2024)</td></tr>
<tr><td><strong>hashcat</strong></td><td>v6.2.6</td></tr>
<tr><td><strong>VeraCrypt</strong></td><td>1.26.24</td></tr>
<tr><td><strong>xxd</strong></td><td>2024-12-07</td></tr>
<tr><td><strong>wxHexEditor</strong></td><td>0.24</td></tr>
<tr><td><strong>sqlite3</strong> (SQLite-Tools)</td><td>3.46.1</td></tr>
<tr><td><strong>find</strong> (GNU findutils)</td><td>4.10.0</td></tr>
<tr><td><strong>curl</strong></td><td>8.12.1</td></tr>
<tr><td><strong>KeePassXC</strong></td><td>2.7.10</td></tr>
<tr><td><strong>PowerShell</strong></td><td>5.1.19041.6093</td></tr>
</tbody>
</table>
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### 6.3 Verwendete Analysewerkzeuge und Einsatzkontext
<table style="font-size: 0.75em; line-height: 1.6em; width: auto;">
<thead>
<tr>
<th style="text-align:left;">Werkzeug</th>
<th style="text-align:left;">Zweck</th>
</tr>
</thead>
<tbody>
<tr>
<td>qemu-nbd</td>
<td>Einbinden von QCOW2-Containern im Read-Only-Modus über /dev/nbdX</td>
</tr>
<tr>
<td>hashcat</td>
<td>Wiederherstellung von Benutzerpasswörtern aus /etc/shadow mittels Wörterbuchangriff</td>
</tr>
<tr>
<td>PhotoRec</td>
<td>Wiederherstellung gelöschter Dateien ohne Rückgriff auf Dateisystemstruktur</td>
</tr>
<tr>
<td>VeraCrypt</td>
<td>Öffnung verschlüsselter Container mit aus KeePassXC extrahierten Passwörtern</td>
</tr>
<tr>
<td>xxd + wxHexEditor</td>
<td>Untersuchung beschädigter Bilddateien und Korrektur fehlerhafter Magic Bytes</td>
</tr>
<tr>
<td>sqlite3</td>
<td>Manuelles Auslesen und Filtern der places.sqlite (Firefox History)</td>
</tr>
<tr>
<td>find</td>
<td>Lokalisierung relevanter Dateien und Browserdaten</td>
</tr>
<tr>
<td>KeePassXC</td>
<td>Öffnung und Sichtung verschlüsselter Passwort-Datenbank (Pass.kdbx)</td>
</tr>
<tr>
<td>curl</td>
<td>Download verifizierter Wortlisten für Passwortanalyse</td>
</tr>
<tr>
<td>PowerShell</td>
<td>Berechnung von Hashwerten und Dateiverwaltung unter Windows (siehe Abschnitt 7.1)</td>
</tr>
</tbody>
</table>
---
### 6.4 Integritätsprüfung und Hash-Strategie
Zur Gewährleistung der Datenintegrität wurde nach Erstellung des forensischen Abbilds ein **MD5-Hash** gebildet. Obwohl **MD5 kryptographisch als unsicher gilt**, ist es in der Praxis der digitalen Forensik weiterhin **üblich und ausreichend**, um die **Bitidentität von Arbeitskopien zu verifizieren**.
**Vorgehen:**
- Initialer Hash vor erster Nutzung (`Get-FileHash`, PowerShell)
- Kopie auf Arbeitsgerät
- Erneute Hashbildung nach Kopiervorgang
- Vergleich mit dem Ursprungshash
---
### 6.5 Reproduzierbarkeit
Alle durchgeführten Schritte wurden mittels standardisierter Befehle protokolliert. Es wurden keine kommerziellen, proprietären oder intransparenten Analyseumgebungen verwendet. Alle eingesetzten Tools sind **frei verfügbar** oder Bestandteil gängiger Linux-Distributionen.
Die Wiederholung der Arbeitsschritte mit denselben Werkzeugen unter den dokumentierten Bedingungen führt erwartungsgemäß zu denselben Ergebnissen.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### 6.6 Kommunikationsanalyse
Im Rahmen der forensischen Untersuchung wurde gezielt nach E-Mail-Archiven, Chatverläufen sowie Spuren aktiver Kommunikationssoftware (z.B. Thunderbird, Outlook, Webmail, WhatsApp, Signal, Skype, Telegram) gesucht.
Hierzu wurden typische Konfigurationsverzeichnisse, lokale Speicherpfade und Browserverläufe systematisch überprüft. Auch .mbox-Archive, PST-Dateien und Anwendungscaches wurden berücksichtigt.
Die Überprüfung erfolgte durch manuelle Sichtung auffälliger Verzeichnisse.
---
### 6.7 Einschränkungen
- **Passwort `pc:$y$j9T...` konnte trotz längerer Analyse nicht wiederhergestellt werden.**
- **Inhalte des gelöschten Bereichs (Photorec-Recovery) konnten nicht vollständig manuell überprüft werden**, da die Anzahl der rekonstruierten Dateien sehr groß war. Die Auswahl repräsentativer Beispiele erfolgte nach Dateigröße.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 7. Gesicherte Dateien
### 7.1 Datensicherung
Am 02.07.2025 um 11:20 besuchten die Sachverständigen des Sachverständigenbüro "Finde die Wahrheit" Niclas Frey und Viktor Linner das Büro von Frau Oberstaatsanwältin Blitzgescheit zur Sicherung der zur Begutachtung relevanten Daten von allen betrefflichen Asservaten im Fall FLIEGNER. Das Asservat wurde als `img`-Datei auf einer `Toshiba v63700 - A 500GB` HDD-Festplatte bereitgestellt. Um sicherzustellen, dass die Daten auf dem Asservat nicht durch die Sachverständigen versehentlich oder absichtlich verändert werden können, wurde ein Write Blocker der Firma "**Logicube**" des Typs **WriteProtect USB wpu 201018 59°** genutzt, der es unmöglich machte, die Toshiba-Festplatte zu beschreiben.
Das für die begutachtung relevante Image wurde identifiert als Date `ForImage9.img`. Vor der Kopie des Images auf einen Datenträger der Sachverständigen wurde ein MD5-Hash des Images erstellt, um nach dem Kopiervorgang feststellen zu können, dass die Kopie identisch zum Original ist.
```PowerShell
PS D:\> dir
Verzeichnis: D:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 01.07.2025 22:12 12748128256 ForImage9.img
PS D:\> Get-FileHash .\ForImage9.img -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 9C9570F6F648BA1D0FF14F8CD6AACF39 D:\ForImage9.img
```
<br>
Danach wurde das Image kopiert, und von der Kopie wurde ein MD5-Hash erstellt.
```PowerShell
PS D:\> Copy-Item .\ForImage9.img C:\Users\Vik\Desktop\ForImage9.img
PS D:\> Get-FileHash 'C:\Users\Vik\Desktop\ForImage9.img' -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 9C9570F6F648BA1D0FF14F8CD6AACF39 C:\Users\Vik\Desktop\ForImage...
```
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### 7.2 Zugriff auf das Image
Um auf das Image zugreifen zu können, nutzten die Sachverständigen `quemu-utils`:
```bash
sudo apt install qemu-utils
sudo modprobe nbd max_part=8
sudo qemu-nbd --connect=/dev/nbd0 ForImage9.img --read-only
lsblk /dev/nbd0
```
### 7.3 Passwort-Extraktion
Die Sachverständigen extrahierten zunächst die Passwörter aller Nutzer aus der Datei `/etc/shadow`:
```shell
sudo cat ./etc/shadow
pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4:19175:0:99999:7:::
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w.:19177:0:99999:7:::
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0:19177:0:99999:7:::
```
---
Die Hashes wurden in folgendem Format in einer Datei `passwd.txt` abgelegt:
```txt
pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0
```
Das Format dient dazu, die Passwörter nach dem Cracken der jeweiligen Nutzer\*in zuordnen zukönnen.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
Danach wurde begonnen, die Passwörter mittels Wörterbuchangriff zu cracken.
```shell
curl -b "MoodleSessionmoodlehsma=016e963ec86fc2134833450bbebb24e0" https://moodle.hs-mannheim.de/pluginfile.php/479555/mod_resource/content/1/wordlist.txt -L > wordlist.txt
hashcat --user passwd.txt wordlist.txt
```
<br>
Nach circa zwei Stunden konnten zwei der drei Passwörter wiederhergestellt werden:
```txt
niels:xaiCh7fi
barney:ahM4Hood
```
Das Passwort des Nutzers `pc` konnte nach ausgiebigen Versuchen vom Sachverständigenbüro nicht wiederhergestellt werden. Allerdings ist auch anzumerken, dass bis auf eine passwortgeschützte KeePass-Datei keine weitere Stelle im Asservat gefunden wurde, bei der die Verwendung eines Passworts notwendig gewesen wäre.
---
### 7.4 Browser-History
Der Kommandozeilenbefehl `find` wurde genutzt, um Browser-Histories des Browsers "Firefox" ausfindig zu machen:
```shell
find . -type f -name "places.sqlite"
./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite
./pc/snap/firefox/common/.mozilla/firefox/hsn68zcj.default/places.sqlite
```
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
In Folge dessen wurden alle Einträge der Datenbank nach Inhalten durchsucht. Die Tabelle `moz_places` enthielt die zuletzt besuchten Seiten des users `barney`:
_Auszug aus der Tabelle moz_places:_
```SQL
SELECT * FROM moz_places
1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
[...]
```
*Die vollständige Browser-History ist in Anlage 1 enthalten.*
Die neunte Spalte enhält Zahlen im Format `1656953208163056` (Beispiel aus der ersten Zeile der Ausgabe). Dies sind sogenannte 'Unix-Timestamps' - Zeitstempel in einem bestimmten Format. Diese Zeitstempel erlaubten es den Sachverständigen, die Browserdaten zeitlich einzuordnen.
---
### 7.5 Kürzlich genutzte Dateien
Die Datei `/home/barney/.local/share/recently-used.xbel` gibt Auskunft über kürzlich genutzte Dateien des Users `barney`:
_Auszug aus /home/barney/.local/sharerecently-used.xbel:_
```xml
<?xml version="1.0" encoding="UTF-8"?>
<xbel version="1.0"
xmlns:bookmark="http://www.freedesktop.org/standards/desktop-bookmarks"
xmlns:mime="http://www.freedesktop.org/standards/shared-mime-info"
>
<bookmark href="file:///media/barney/067E7AF632AA2E11/Bilder" added="2022-07-04T16:30:33.590042Z" modified="2022-07-04T16:30:33.590048Z" visited="2022-07-04T16:30:33.590043Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="inode/directory"/>
<bookmark:applications>
<bookmark:application name="org.gnome.Nautilus" exec="&apos;org.gnome.Nautilus %u&apos;" modified="2022-07-04T16:30:33.590045Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///media/barney/067E7AF632AA2E11/xxx" added="2022-07-04T16:34:14.977136Z" modified="2022-07-04T20:11:09.132408Z" visited="2022-07-04T16:34:14.977137Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/octet-stream"/>
<bookmark:applications>
<bookmark:application name="veracrypt" exec="&apos;veracrypt %u&apos;" modified="2022-07-04T20:11:09.132405Z" count="3"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///home/barney/Pass.kdbx" added="2022-07-04T20:10:16.757839Z" modified="2022-07-04T20:10:16.757851Z" visited="2022-07-04T20:10:16.757841Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/x-keepass2"/>
<bookmark:applications>
<bookmark:application name="keepassxc" exec="&apos;keepassxc %u&apos;" modified="2022-07-04T20:10:16.757845Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
[...]
```
<br>
Für die Begutachtung waren hierbei folgende Erkenntnisse zu gewinnen:
1. Die Datei `/media/barney/067E7AF632AA2E11/xxx`, deren Dateityp vorher nicht näher zu bestimmen war, wurde mit `veracrypt` bedient. Veracrypt ist ein Programm, welches zur Ver- oder Entschlüsselung von Dateien, Verzeichnissen oder ganzer Dateisysteme die
2. Nach Zugriff auf die Veracrypt-Datei wurde auf `/home/barney/Pass.kdbx` zugegriffen. Es stellte sich später heraus (siehe Abschnitt Keepass-Datenbank), dass diese Datei eine KeePass-Datenbank ist. Die Zeitliche Abfolge der Zugriffe auf diese beiden Dateien legte nahe, dass das Passwort, was zur Entschlüsselung der Veracrypt-Datei benötigt ist, in der KeePass-Datenbank hinterlegt ist.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### 7.6 Keepass-Datenbank
Im Home-Verzeichnis des Users `barney` wurde eine passwortgeschützte KeePass-Datenbank gefunden:
```shell
ls
Bilder Dokumente Downloads Musik Öffentlich Pass.kdbx Schreibtisch snap Videos Vorlagen
```
Die Datenbank ließ sich mit dem zuvor wiederhergestellen Passwort `ahM4Hood` öffnen. In der Datenbank war ein einziges Passwort im Verzeichnis “Root” hinterlegt. Der Titel des Eintrags lautete „VeraCrypt“.
Das Passwort lautet „littleGirls“. **Der Inhalt des Passworts könnte auf eine bewusste Themenwahl hindeuten; eine rechtliche Bewertung dieser Tatsache erfolgt durch das Gericht.**
---
### 7.7 Veracrypt-verschlüsselte Datei
Die Datei `/media/barney/067E7AF632AA2E11/xxx` konnte mit dem aus der KeePass-Datenbank gewonnenen Passwort entschlüsselt und forensisch untersucht werden:
```shell
sudo mkdir /mnt/veracrypt && sudo veracrypt --text --mount xxx /mnt/veracrypt
```
---
### 7.8 Korrpute Bilddatei
Die Bilddatei `Bilder/c1.jpg` wurde auf Dateikorruption untersucht, da sie die Endung einer Bilddatei besitzt, sich aber nicht als Bild öffnen ließ.
Um festzustellen, ob es sich wirklich um eine Bilddatei handelt, oder ob die Dateiendung womöglich nichts mit dem Inhalt der Datei zu tun hat (was auf Unix-Systemen durchaus sein kann), nutzten die Sachverständigen das Programm `xxd`:
```shell
xxd c1.jpeg | head -n 20
00000000: ddd8 ffe0 0010 4a46 4946 0001 0100 0001 ......JFIF......
00000010: 0001 0000 ffdb 0084 0009 0607 1210 1215 ................
00000020: 0f10 1216 1015 0f10 1010 0f15 1015 150f ................
00000030: 1510 1015 1516 1615 1515 1518 1d28 2018 .............( .
```
Die ersten Bytes der Datei ähneln den bei einer jpeg-Datei erwarteten ersten Bytes `FF D8 FF E0 00`.
Um herauszufinden, ob die Datei sich bei Änderung der Bytes in die oben genannte Bytefolge als Bilddatei öffnen lässt, veränderten die Sachverständigen die Magic Bytes der Datei mit dem Hexeditor `wxhexeditor`.
Tatsächlich ließ sich nach der Änderung die Datei als Bild öffnen.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### 7.9 Untersuchung auf gelöschte Dateien
Das tool `photorec` wurde genutzt, um alle auf dem Image vorhandenen gelöschten Dateien wiederherzustellen:
```shell
photorec /home/sf_kali_share/ForImage9
```
Dabei konnte eine große Anzahl von Bilddateien wiederhergestellt werden, bei denen der Verdacht besteht, dass sie Darstellungen von teilweise unbekleideten Personen in sexualisiertem Kontext enthalten.
Eine abschließende rechtliche Bewertung dieser Inhalte ist dem Gericht vorbehalten.
Aufgrund der großen Datenmenge ist in Anlage 3 ein exemplarischer Screenshot beigefügt. Die vollständigen Inhalte wurden auf einem separaten Datenträger gesichert, der dem Gericht auf Anfrage zur Verfügung gestellt werden kann.
---
### 7.10 Kommunikation
Es wurden keine Hinweise auf gespeicherte E-Mails, lokale Chatverläufe oder sonstige elektronische Kommunikation gefunden.
Insbesondere ließen sich weder E-Mail-Clients noch Messaging-Anwendungen identifizieren, die relevante Inhalte gespeichert hätten.
Auch Browserverläufe enthielten keine Spuren von Webmail-Diensten oder Kommunikationsplattformen, die auf eine Nutzung hindeuten würden.
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 8. Anlagen
### Anlage 1: Vollständige Browser-History des users `barney`
```txt
1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
4|https://support.mozilla.org/kb/customize-firefox-controls-buttons-and-toolbars?utm_source=firefox-browser&utm_medium=default-bookmarks&utm_campaign=customize||gro.allizom.troppus.|0|0|0|137||fzS0A1vSmaCS|1|47359956450016||||2
5|https://www.mozilla.org/contribute/||gro.allizom.www.|0|0|0|137||ZUp2Xs0my0fc|1|47357364218428||||1
6|https://www.mozilla.org/about/||gro.allizom.www.|0|0|0|137||PxGc7HWdpK3u|1|47357608426557||||1
7|https://www.mozilla.org/firefox/central/||gro.allizom.www.|0|0|0|137||SmvTP_gRfA1X|1|47359969280417||||1
8|https://www.google.com/search?channel=fs&client=ubuntu&q=hot+chearleader|hot chearleader - Google Suche|moc.elgoog.www.|1|0|1|1950|1656953228105571|5k6iUfwoYDt_|0|47359856985002||||3
10|https://www.google.com/search?q=hot+cheerleader+pics&client=ubuntu&hs=Urn&channel=fs&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjpo6Tq19_4AhUz57sIHUuNAVoQ_AUoAXoECAEQAw&biw=950&bih=656&dpr=1|hot cheerleader pics Google Suche|moc.elgoog.www.|1|0|0|98|1656953247155094|WjfpN6MdgTYb|0|47357695506675||||3
11|https://www.google.com/|Google|moc.elgoog.www.|1|0|1|2000|1751399635782628|VO9fMBiQ_Qe3|0|47357433249528||||3
12|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz|Google Search|moc.elgoog.www.|1|0|0|100|1751399650395128|VwD1rGOId0VP|0|47358104091540||||3
13|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz&sei=4jxkaILdFq3Xxc8PkYvV0Q0|sexy girls chearleeder - Google Suche|moc.elgoog.www.|1|0|0|100|1751399650869426|oD-XfeUoeZN9|0|47357505484614||||3
14|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1|sexy girls cheerleader - Google Suche|moc.elgoog.www.|2|0|0|200|1751399794152616|84PG8mjR9eFS|0|47359998535018||||3
15|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=cxWEukMoNf2AeM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399681729745|oKM9ukKGCqYk|0|47359365193005||||3
16|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=PdmE7HJ-gy1JZM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399736003286|mvushxzbfYqP|0|47357381351553||||3
18|https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.shutterstock.com%2Fde%2Fsearch%2Fhot-cheerleader&psig=AOvVaw1jVI9MPGMcs8DtCnFhnflL&ust=1751486058108000&source=images&cd=vfe&opi=89978449&ved=0CBQQjRxqFwoTCNjdlZ-4nI4DFQAAAAAdAAAAABAS||moc.elgoog.www.|1|1|0|25|1751399857179623|-VXBlm6v3hA9|0|47358059237094||||3
```
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### Anlage 2: Inhalt des verschlüsselten Veracrypt-Image
Nach Entschlüsselung des Containers `/media/barney/067E7AF632AA2E11/xxx` konnten folgende Bilddateien forensisch gesichert werden:
| Datei | Größe | Auflösung | Datum | Beschreibung |
|-----------------|------------------------|-------------------|-------------|--------------------------------------------------------------------------------------------------------|
| c2.jpeg<br>`/xxx/c2.jpeg` | 7.8 KiB (7 979 Bytes) | 299 × 169 px | 04.07.2022 | Einzelne Football-Cheerleaderin in weißem Outfit, lachend inmitten eines Stadions, offenbar beim Tanzmove. |
| c3.jpeg<br>`/xxx/c3.jpeg` | 6.5 KiB (6 610 Bytes) | 300 × 168 px | 04.07.2022 | Cheerleaderinnen in weiß-blauem Uniform-Set, stehend in Studio-Pose vor weißem Hintergrund. |
| c4.jpeg<br>`/xxx/c4.jpeg` | 10.4 KiB (10 694 Bytes) | 300 × 168 px | 04.07.2022 | Mehrere Cheerleaderinnen in schwarzem Top mit pinken Pom-Poms, synchron aufgereiht bei Auftritt im Freien. |
<div style="margin-top:1em; display:flex; gap:1em;">
  <figure style="text-align:center;">
    <img src="xxx/c2.jpeg" width="200" alt="Vorschaubild IMG_001">
    <figcaption>c2.jpeg</figcaption>
  </figure>
  <figure style="text-align:center;">
    <img src="xxx/c3.jpeg" width="200" alt="Vorschaubild IMG_002">
    <figcaption>c3.jpeg</figcaption>
  </figure>
  <figure style="text-align:center;">
    <img src="xxx/c4.jpeg" width="200" alt="Vorschaubild IMG_003">
    <figcaption>c4.jpeg</figcaption>
  </figure>
</div>
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### Anlage 3: Gelöschtes Bildmaterial
![](Gutachten_Bilder/Unbenannt-1753402110516.png)
![](Gutachten_Bilder/Unbenannt-1753402132176.png)
![](Gutachten_Bilder/Unbenannt-1753402404923.png)
![](Gutachten_Bilder/Unbenannt-1753402424614.png)
![](Gutachten_Bilder/Unbenannt-1753402438090.png)
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### Anlage 4: Datei ``/home/barney/.local/share/recently-used.xbel``
```xml
<?xml version="1.0" encoding="UTF-8"?>
<xbel version="1.0"
xmlns:bookmark="http://www.freedesktop.org/standards/desktop-bookmarks"
xmlns:mime="http://www.freedesktop.org/standards/shared-mime-info"
>
<bookmark href="file:///media/barney/067E7AF632AA2E11/Bilder" added="2022-07-04T16:30:33.590042Z" modified="2022-07-04T16:30:33.590048Z" visited="2022-07-04T16:30:33.590043Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="inode/directory"/>
<bookmark:applications>
<bookmark:application name="org.gnome.Nautilus" exec="&apos;org.gnome.Nautilus %u&apos;" modified="2022-07-04T16:30:33.590045Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///media/barney/067E7AF632AA2E11/xxx" added="2022-07-04T16:34:14.977136Z" modified="2022-07-04T20:11:09.132408Z" visited="2022-07-04T16:34:14.977137Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/octet-stream"/>
<bookmark:applications>
<bookmark:application name="veracrypt" exec="&apos;veracrypt %u&apos;" modified="2022-07-04T20:11:09.132405Z" count="3"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///home/barney/Pass.kdbx" added="2022-07-04T20:10:16.757839Z" modified="2022-07-04T20:10:16.757851Z" visited="2022-07-04T20:10:16.757841Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/x-keepass2"/>
<bookmark:applications>
<bookmark:application name="keepassxc" exec="&apos;keepassxc %u&apos;" modified="2022-07-04T20:10:16.757845Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///home/barney/Dokumente/Annual_Report.odp" added="2025-07-01T20:06:39.710911Z" modified="2025-07-01T20:06:39.710943Z" visited="2025-07-01T20:06:39.710925Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/vnd.oasis.opendocument.presentation"/>
<bookmark:applications>
<bookmark:application name="org.gnome.Nautilus" exec="&apos;libreoffice --impress %U&apos;" modified="2025-07-01T20:06:39.710930Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
<bookmark href="file:///home/barney/Dokumente/Annual_Report_Entwurf.pptx" added="2025-07-01T20:10:06.623166Z" modified="2025-07-01T20:10:06.623196Z" visited="2025-07-01T20:10:06.623168Z">
<info>
<metadata owner="http://freedesktop.org">
<mime:mime-type type="application/vnd.openxmlformats-officedocument.presentationml.presentation"/>
<bookmark:applications>
<bookmark:application name="org.gnome.Nautilus" exec="&apos;libreoffice --impress %U&apos;" modified="2025-07-01T20:10:06.623178Z" count="1"/>
</bookmark:applications>
</metadata>
</info>
</bookmark>
</xbel>
```
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
## 9. Anhang
### Anhang I: Grundsätzliche Vorgehensweisen
#### I.I. Behandlung der Asservate
##### I.I.1 Generelle Anmerkungen
Die Auswertung von Datenträgern erfolgt nach forensischen Gesichtspunkten und auf dem aktuellen Stand der Technik. An Hard- und Softwareprodukten werden von Ermittlungs-, Finanz- und Steuerbehörden weltweit genutzte und gerichtlich anerkannte Produkte unter Windows und LINUX eingesetzt.
Die forensische Auswertung von Datenträgern geschieht unter hohen Sicherheitsvorkehrungen ausschließlich durch forensisch geschultes Personal in abgesicherten und beaufsichtigten Räumen.
Auf veränderbare Originaldatenträger wird (soweit technisch möglich) nur mittels Spezialhardware zugegriffen, die ein Beschreiben der Originaldatenträger verhindern.
Die Auswertung geschieht mittels spezieller Software. Dabei werden falls das durch den Auftraggeber aus Kostengründen nicht ausdrücklich ungewünscht ist auch alle Formen von gelöschten und teilweise überschriebenen Daten sowie spezielle, mit üblichen Mitteln nicht zugängliche oder versteckte Dateien/Bereiche berücksichtigt.
---
##### I.I.2 Hardware-Write-Blocker
Für den Zugriff auf Beweisdatenträger, welche nicht auf Grund Ihrer Art selbst schreibgeschützt sind, wurden sogenannte Hardware-Write-Blocker verwendet, die durch Ihren speziellen elektronischen Aufbau den schreibenden Zugriff auf den Datenträger in jedem Fall verhindern und somit die Integrität der gesicherten Daten gewährleisten. Hierzu fand ein Gerät der Firma "**Logicube**" des Typs **WriteProtect USB wpu 201018 59°** Verwendung.
Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schreibzugriffe ist so mit ausgeschlossen.
---
### Anhang II: Wichtige Lesehinweise zum Gutachten
**Inhalt**: Es werden nicht alle negativen Untersuchungen dokumentiert
**Juristische Begriffe**: Falls ein juristischer Begriff Verwendung findet, geschieht das ungewollt und in der umgangssprachlichen Bedeutung. Eine juristische Bewertung obliegt der Staatsanwaltschaft und dem hohen Gericht
<div style="page-break-before: always; height: 0;"></div>
<br>
<div style="border-bottom: 1px solid #333; padding: 4px 0; display: flex; justify-content: space-between; align-items: center; font-size: 12px; font-family: sans-serif;">
  <span>Marwe Saai (3008602)</span>
  <span>Viktor Linner (3008571)</span>
  <span>Niclas Frey (3004104)</span>
  <strong>Team 16</strong>
</div>
<br>
### Anhang III: Glossar
**Nutzer** : Der „Nutzer“ ist eine Person, die ein Gerät bedient und Daten von Speichermedien gelesen bzw. darauf geschrieben hat. Es muss sich nicht bei jeder Verwendung des Begriffs um ein und dieselbe Person handeln. Ob es sich beim Nutzer um die Beschuldigten handelt, ist aus technischer Sicht meist nicht eindeutig zu beantworten. Hinweise, die deutlich dafür oder dagegen sprechen, werden angeführt. Im Zusammenhang mit E-Mail-Empfänger- und Absender-Adressen wurden im Gutachten die zur jeweiligen Adresse gespeicherten Namen in der Dokumentation verwendet.<br>
**Browser-History**: Unter dem Begriff „Browser-History“ werden die von Webbrowsern gespeicherten Nutzungsdaten verstanden. Diese beinhalten besuchte Webseiten, durchgeführte Suchanfragen sowie Zeitstempel. Je nach eingesetztem Browser und Konfiguration können auch Details wie Verweildauer oder Downloadaktionen erfasst sein.<br>
**Datenträger**: Als Datenträger gelten alle elektronischen Medien, die zur Speicherung digitaler Inhalte geeignet sind. Dazu zählen unter anderem Festplatten (HDD/SSD), USB-Sticks, Speicherkarten oder optische Medien (CD/DVD). In diesem Gutachten wird der Begriff technisch und neutral verwendet.<br>
**Image**: Ein Image bezeichnet eine bitweise Kopie eines Datenträgers oder eines Partitionsteils. Es handelt sich dabei um ein exaktes Abbild inklusive aller Sektoren, gelöschter Dateien, freier Bereiche sowie versteckter Partitionen.<br>
**Verschlüsselung**: Datenverschlüsselung ist ein technisches Verfahren, bei dem Informationen mithilfe eines Schlüssels in eine unlesbare Form überführt werden.<br>
**Cracken von Passwörtern**: Das „Cracken“ von Passwörtern bezeichnet technische Verfahren zur Wiederherstellung vergessener oder verschlüsselter Zugangsdaten. Verwendet werden dabei Methoden wie Wörterbuchangriffe, Brute-Force-Verfahren oder die Nutzung zuvor extrahierter Passwort-Hashes.<br>
**Wörterbuchangriff**: Ein Wörterbuchangriff ist ein Verfahren zur Passwortwiederherstellung, bei dem eine vorbereitete Liste gängiger oder wahrscheinlich verwendeter Passwörter systematisch ausprobiert wird. Diese sogenannten „Wortlisten“ basieren häufig auf realen Datenlecks, typischen Mustern oder benutzerspezifischen Informationen (z.B. Namen, Geburtsdaten). Wörterbuchangriffe gelten als effizient, wenn schwache oder wiederverwendete Passwörter verwendet wurden.<br>
**Brute-Force-Verfahren**: Das Brute-Force-Verfahren bezeichnet eine systematische und vollständige Durchprobierung aller möglichen Zeichenkombinationen eines Passworts. Es garantiert bei ausreichend Zeit und Rechenleistung die Wiederherstellung des korrekten Passworts, ist jedoch bei langen und komplexen Passwörtern rechnerisch sehr aufwendig. Brute-Force-Angriffe kommen in der forensischen Praxis meist nur in begrenzter Form oder in Kombination mit Optimierungen (z.B. Masken, Regeln) zum Einsatz.
<br><br><br><br><br><br><br><br><br>
Reference in New Issue View Git Blame Copy Permalink