diff --git a/Pruefungsleistung/abschlussbericht.md b/Pruefungsleistung/abschlussbericht.md new file mode 100644 index 0000000..f9382a2 --- /dev/null +++ b/Pruefungsleistung/abschlussbericht.md @@ -0,0 +1,99 @@ +# Forensisches Gutachten - Gruppe 13 + +## Auswertung sichergesteller Medien im Fall "Tilo Barkholz" +Bearbeitende Forensiker: +- Eric Lehmann +- Markus Winklhofer +- Yodkhatha Bick +- Niklas Heringer + +# Datenübergabe +Die Daten des Falls wurden uns via einem **Write Blocker**. +![Image](IMG_4509.HEIC) ++++ gescheite Bildbeschreibungen +Zur Sicherung des digitalen Beweismittels wurde zunächst das Tool `CRUWBlocker_.exe` ausgeführt, um den Write Blocker ordnungsgemäß zu initialisieren +Dies dient der Gewährleistung der Integrität der vorliegenden Daten gemäß forensischer Standards. + +![Image](IMG_4513.HEIC) +![Image](IMG_4514.HEIC) + +![Image](IMG_4506.HEIC) + +![Image](IMG_4510.HEIC) + +Nach erfolgreichem Anschluss des Datenträgers wurden die Systeminformationen des Datenträgers erhoben: +```powershell + + +PS E:\> Get-Volume + +DriveLetter FriendlyName FileSystemType DriveType HealthStatus OperationalS + tatus +----------- ------------ -------------- --------- ------------ ------------ +E TOSHIBA EXT NTFS Fixed Warning Full Repa... + NTFS Fixed Healthy OK +C NTFS Fixed Healthy OK +``` + +```powershell +PS E:\> Get-Partition + + + DiskPath: \\?\scsi#disk&ven_nvme&prod_wd_pc_sn740_sddq#5&1551df2e&0&0000 +00#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} + +PartitionNumber DriveLetter Offset Size Type +--------------- ----------- ------ ---- ---- +1 1048576 100 MB System +2 105906176 16 MB Reserved +3 C 122683392 476.18 GB Basic +4 511417778176 659 MB Recovery + + + DiskPath: \\?\usbstor#disk&ven_toshiba&prod_external_usb_3.0&rev_5438#23 +1841104d8b&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} + +PartitionNumber DriveLetter Offset Size Type +--------------- ----------- ------ ---- ---- +1 E 1048576 465.76 GB IFS +``` + +```powershell +PS E:\> Get-PhysicalDisk + +Number FriendlyName SerialNumber +------ ------------ ------------ +0 WD PC SN740 SDDQNQD-512G-1014 E823_8FA6_BF53_0001_001B_444A_481A_... +3 TOSHIBA External USB 3.0 231841104D8B +``` + +![Image](IMG_4515.HEIC) + +Die Ausgaben zeigen, dass das externe Medium (TOSHIBA External USB 3.0) korrekt erkannt wurde und unter dem Laufwerksbuchstaben `E:` bereitgestellt war. Die physikalische und logische Struktur wurde dokumentiert, um die vollständige Nachvollziehbarkeit der durchgeführten Schritte zu gewährleisten. + +## Übertragung der sichergestellten Medien +Eine Untersuchung besagten `E:`-Laufwerks zeigte eine einzelne anwesende Datei, `ForImage2.img`, Größe +++ GB. + +Wir sicherten die Integrität der Datei durch Hashen (das Erstellen einer Datei-Signatur in ihrem aktuellen Zustand) vor und nach dem Übertragen. + +```powershell +PS E:\> Get-FileHash .\ForImage2.img -Algorithm MD5 + +Algorithm Hash Path +--------- ---- ---- +MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 E:\ForImage2.img +``` + +```powershell +PS E:\> Copy-Item .\ForImage2.img C:\Users\herin\Documents\"DIF PL" +``` ++++ analoge Pfade für die anderen? oder besser so lassen (dann hätten wir ja wohl alle übertragungen dokumentieren müssen) + +```powershell +PS E:\> Get-FileHash 'C:\Users\herin\Documents\DIF PL\ForImage2.img' -Algorithm MD5 + +Algorithm Hash Path +--------- ---- ---- +MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 C:\Users\herin\Documents\DIF PL\ForImage2.img +``` ++++ gescheite Command-Erklärungen \ No newline at end of file