3009728
/
DIF_Team_13
4
1
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

anfang abschlussbericht

main
Ahzek 2025-07-12 06:42:20 +02:00
parent af3f5ce534
commit 86bec41dce
1 changed files with 99 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

99
Pruefungsleistung/abschlussbericht.md 100644
View File

@ -0,0 +1,99 @@
# Forensisches Gutachten - Gruppe 13
## Auswertung sichergesteller Medien im Fall "Tilo Barkholz"
Bearbeitende Forensiker:
- Eric Lehmann
- Markus Winklhofer
- Yodkhatha Bick
- Niklas Heringer
# Datenübergabe
Die Daten des Falls wurden uns via einem **Write Blocker**.
![Image](IMG_4509.HEIC)
+++ gescheite Bildbeschreibungen
Zur Sicherung des digitalen Beweismittels wurde zunächst das Tool `CRUWBlocker_.exe` ausgeführt, um den Write Blocker ordnungsgemäß zu initialisieren
Dies dient der Gewährleistung der Integrität der vorliegenden Daten gemäß forensischer Standards.
![Image](IMG_4513.HEIC)
![Image](IMG_4514.HEIC)
![Image](IMG_4506.HEIC)
![Image](IMG_4510.HEIC)
Nach erfolgreichem Anschluss des Datenträgers wurden die Systeminformationen des Datenträgers erhoben:
```powershell
PS E:\> Get-Volume
DriveLetter FriendlyName FileSystemType DriveType HealthStatus OperationalS
tatus
----------- ------------ -------------- --------- ------------ ------------
E TOSHIBA EXT NTFS Fixed Warning Full Repa...
NTFS Fixed Healthy OK
C NTFS Fixed Healthy OK
```
```powershell
PS E:\> Get-Partition
DiskPath: \\?\scsi#disk&ven_nvme&prod_wd_pc_sn740_sddq#5&1551df2e&0&0000
00#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
PartitionNumber DriveLetter Offset Size Type
--------------- ----------- ------ ---- ----
1 1048576 100 MB System
2 105906176 16 MB Reserved
3 C 122683392 476.18 GB Basic
4 511417778176 659 MB Recovery
DiskPath: \\?\usbstor#disk&ven_toshiba&prod_external_usb_3.0&rev_5438#23
1841104d8b&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
PartitionNumber DriveLetter Offset Size Type
--------------- ----------- ------ ---- ----
1 E 1048576 465.76 GB IFS
```
```powershell
PS E:\> Get-PhysicalDisk
Number FriendlyName SerialNumber
------ ------------ ------------
0 WD PC SN740 SDDQNQD-512G-1014 E823_8FA6_BF53_0001_001B_444A_481A_...
3 TOSHIBA External USB 3.0 231841104D8B
```
![Image](IMG_4515.HEIC)
Die Ausgaben zeigen, dass das externe Medium (TOSHIBA External USB 3.0) korrekt erkannt wurde und unter dem Laufwerksbuchstaben `E:` bereitgestellt war. Die physikalische und logische Struktur wurde dokumentiert, um die vollständige Nachvollziehbarkeit der durchgeführten Schritte zu gewährleisten.
## Übertragung der sichergestellten Medien
Eine Untersuchung besagten `E:`-Laufwerks zeigte eine einzelne anwesende Datei, `ForImage2.img`, Größe +++ GB.
Wir sicherten die Integrität der Datei durch Hashen (das Erstellen einer Datei-Signatur in ihrem aktuellen Zustand) vor und nach dem Übertragen.
```powershell
PS E:\> Get-FileHash .\ForImage2.img -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 E:\ForImage2.img
```
```powershell
PS E:\> Copy-Item .\ForImage2.img C:\Users\herin\Documents\"DIF PL"
```
+++ analoge Pfade für die anderen? oder besser so lassen (dann hätten wir ja wohl alle übertragungen dokumentieren müssen)
```powershell
PS E:\> Get-FileHash 'C:\Users\herin\Documents\DIF PL\ForImage2.img' -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 C:\Users\herin\Documents\DIF PL\ForImage2.img
```
+++ gescheite Command-Erklärungen