# Forensisches Gutachten - Gruppe 13

## Auswertung sichergesteller Medien im Fall "Tilo Barkholz"
Bearbeitende Forensiker:
- Eric Lehmann
- Markus Winklhofer
- Yodkhatha Bick
- Niklas Heringer

# Datenübergabe
Die Daten des Falls wurden uns via einem **Write Blocker**.
![Image](IMG_4509.png)
+++ gescheite Bildbeschreibungen
Zur Sicherung des digitalen Beweismittels wurde zunächst das Tool `CRUWBlocker_.exe` ausgeführt, um den Write Blocker ordnungsgemäß zu initialisieren
Dies dient der Gewährleistung der Integrität der vorliegenden Daten gemäß forensischer Standards.

![Image](IMG_4513.png)
![Image](IMG_4514.png)

![Image](IMG_4506.png)

![Image](IMG_4510.png)

Nach erfolgreichem Anschluss des Datenträgers wurden die Systeminformationen des Datenträgers erhoben:
```powershell


PS E:\> Get-Volume

DriveLetter FriendlyName FileSystemType DriveType HealthStatus OperationalS
                                                               tatus
----------- ------------ -------------- --------- ------------ ------------
E           TOSHIBA EXT  NTFS           Fixed     Warning      Full Repa...
                         NTFS           Fixed     Healthy      OK
C                        NTFS           Fixed     Healthy      OK
```

```powershell
PS E:\> Get-Partition


   DiskPath: \\?\scsi#disk&ven_nvme&prod_wd_pc_sn740_sddq#5&1551df2e&0&0000
00#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

PartitionNumber  DriveLetter Offset                  Size Type
---------------  ----------- ------                  ---- ----
1                           1048576               100 MB System
2                           105906176              16 MB Reserved
3                C           122683392          476.18 GB Basic
4                           511417778176          659 MB Recovery


   DiskPath: \\?\usbstor#disk&ven_toshiba&prod_external_usb_3.0&rev_5438#23
1841104d8b&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

PartitionNumber  DriveLetter Offset                  Size Type
---------------  ----------- ------                  ---- ----
1                E           1048576            465.76 GB IFS
```

```powershell
PS E:\> Get-PhysicalDisk

Number FriendlyName                  SerialNumber
------ ------------                  ------------
0      WD PC SN740 SDDQNQD-512G-1014 E823_8FA6_BF53_0001_001B_444A_481A_...
3      TOSHIBA External USB 3.0      231841104D8B
```

![Image](IMG_4515.png)

Die Ausgaben zeigen, dass das externe Medium (TOSHIBA External USB 3.0) korrekt erkannt wurde und unter dem Laufwerksbuchstaben `E:` bereitgestellt war. Die physikalische und logische Struktur wurde dokumentiert, um die vollständige Nachvollziehbarkeit der durchgeführten Schritte zu gewährleisten.

## Übertragung der sichergestellten Medien
Eine Untersuchung besagten `E:`-Laufwerks zeigte eine einzelne anwesende Datei, `ForImage2.img`, Größe +++ GB.

Wir sicherten die Integrität der Datei durch Hashen (das Erstellen einer Datei-Signatur in ihrem aktuellen Zustand) vor und nach dem Übertragen.

```powershell
PS E:\> Get-FileHash .\ForImage2.img -Algorithm MD5

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             BE61A64B8AAD45ABBC0B4C266B688EB2                                       E:\ForImage2.img
```

```powershell
PS E:\> Copy-Item .\ForImage2.img C:\Users\herin\Documents\"DIF PL"
```
+++ analoge Pfade für die anderen? oder besser so lassen (dann hätten wir ja wohl alle übertragungen dokumentieren müssen)

```powershell
PS E:\> Get-FileHash 'C:\Users\herin\Documents\DIF PL\ForImage2.img' -Algorithm MD5

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             BE61A64B8AAD45ABBC0B4C266B688EB2                                       C:\Users\herin\Documents\DIF PL\ForImage2.img
```
+++ gescheite Command-Erklärungen