anfang abschlussbericht
Ahzek
parent
af3f5ce534
commit
86bec41dce
|
|
@ -0,0 +1,99 @@
|
|||
# Forensisches Gutachten - Gruppe 13
|
||||
|
||||
## Auswertung sichergesteller Medien im Fall "Tilo Barkholz"
|
||||
Bearbeitende Forensiker:
|
||||
- Eric Lehmann
|
||||
- Markus Winklhofer
|
||||
- Yodkhatha Bick
|
||||
- Niklas Heringer
|
||||
|
||||
# Datenübergabe
|
||||
Die Daten des Falls wurden uns via einem **Write Blocker**.
|
||||
|
||||
+++ gescheite Bildbeschreibungen
|
||||
Zur Sicherung des digitalen Beweismittels wurde zunächst das Tool `CRUWBlocker_.exe` ausgeführt, um den Write Blocker ordnungsgemäß zu initialisieren
|
||||
Dies dient der Gewährleistung der Integrität der vorliegenden Daten gemäß forensischer Standards.
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
Nach erfolgreichem Anschluss des Datenträgers wurden die Systeminformationen des Datenträgers erhoben:
|
||||
```powershell
|
||||
|
||||
|
||||
PS E:\> Get-Volume
|
||||
|
||||
DriveLetter FriendlyName FileSystemType DriveType HealthStatus OperationalS
|
||||
tatus
|
||||
----------- ------------ -------------- --------- ------------ ------------
|
||||
E TOSHIBA EXT NTFS Fixed Warning Full Repa...
|
||||
NTFS Fixed Healthy OK
|
||||
C NTFS Fixed Healthy OK
|
||||
```
|
||||
|
||||
```powershell
|
||||
PS E:\> Get-Partition
|
||||
|
||||
|
||||
DiskPath: \\?\scsi#disk&ven_nvme&prod_wd_pc_sn740_sddq#5&1551df2e&0&0000
|
||||
00#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
|
||||
|
||||
PartitionNumber DriveLetter Offset Size Type
|
||||
--------------- ----------- ------ ---- ----
|
||||
1 1048576 100 MB System
|
||||
2 105906176 16 MB Reserved
|
||||
3 C 122683392 476.18 GB Basic
|
||||
4 511417778176 659 MB Recovery
|
||||
|
||||
|
||||
DiskPath: \\?\usbstor#disk&ven_toshiba&prod_external_usb_3.0&rev_5438#23
|
||||
1841104d8b&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
|
||||
|
||||
PartitionNumber DriveLetter Offset Size Type
|
||||
--------------- ----------- ------ ---- ----
|
||||
1 E 1048576 465.76 GB IFS
|
||||
```
|
||||
|
||||
```powershell
|
||||
PS E:\> Get-PhysicalDisk
|
||||
|
||||
Number FriendlyName SerialNumber
|
||||
------ ------------ ------------
|
||||
0 WD PC SN740 SDDQNQD-512G-1014 E823_8FA6_BF53_0001_001B_444A_481A_...
|
||||
3 TOSHIBA External USB 3.0 231841104D8B
|
||||
```
|
||||
|
||||
|
||||
|
||||
Die Ausgaben zeigen, dass das externe Medium (TOSHIBA External USB 3.0) korrekt erkannt wurde und unter dem Laufwerksbuchstaben `E:` bereitgestellt war. Die physikalische und logische Struktur wurde dokumentiert, um die vollständige Nachvollziehbarkeit der durchgeführten Schritte zu gewährleisten.
|
||||
|
||||
## Übertragung der sichergestellten Medien
|
||||
Eine Untersuchung besagten `E:`-Laufwerks zeigte eine einzelne anwesende Datei, `ForImage2.img`, Größe +++ GB.
|
||||
|
||||
Wir sicherten die Integrität der Datei durch Hashen (das Erstellen einer Datei-Signatur in ihrem aktuellen Zustand) vor und nach dem Übertragen.
|
||||
|
||||
```powershell
|
||||
PS E:\> Get-FileHash .\ForImage2.img -Algorithm MD5
|
||||
|
||||
Algorithm Hash Path
|
||||
--------- ---- ----
|
||||
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 E:\ForImage2.img
|
||||
```
|
||||
|
||||
```powershell
|
||||
PS E:\> Copy-Item .\ForImage2.img C:\Users\herin\Documents\"DIF PL"
|
||||
```
|
||||
+++ analoge Pfade für die anderen? oder besser so lassen (dann hätten wir ja wohl alle übertragungen dokumentieren müssen)
|
||||
|
||||
```powershell
|
||||
PS E:\> Get-FileHash 'C:\Users\herin\Documents\DIF PL\ForImage2.img' -Algorithm MD5
|
||||
|
||||
Algorithm Hash Path
|
||||
--------- ---- ----
|
||||
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 C:\Users\herin\Documents\DIF PL\ForImage2.img
|
||||
```
|
||||
+++ gescheite Command-Erklärungen
|
||||
Loading…
Reference in New Issue