3009728
/
DIF_Team_13
4
1
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
DIF_Team_13/uebung_03/1. Ansatz/Image 3.md

2.7 KiB
Raw Blame History

Forensisches Logbuch - Übung 3

Bearbeiter: Team 13 Betriebssystem: Kali Linux Arbeitsverzeichnis: /home/ericleh/DIF/U3/ Datum 22.04 Beginn: 16:30 UTC +2

Liebstes BKA, die eingeschickte Festplatte wurde ausgewertet! Wir sind zu folgenden Antworten auf die gestellten Frage gekommen:

i) Mit welchem Betriebssystem hat der Benutzer vermutlich gearbeitet? Siehe Befehl um 16:39, der Befehl hat ein exaktes Abbild der sichergestellten Festplatte erstellt, in welcher sich herausstellte das dieses Image in drei Bereiche (Partitionen) aufgeteilt wurde, BIOS-Boot-Bereich, welcher winzig ist (1MB), eine EFI-Systempartition, in welcher Startdateien zum laden des Betriebssystem liegen und das relevante Linux-Dateisystem, welches ca. 19,5GB hat und dementsprechend das verwendete Betriebssystem des Nutzers ist.

ii) Wie lautet vermutlich der Benutzername? Siehe Befehl 17:07, im Homeverzeichnis befindet sich ausschließlich der Benutzer "dif", außerdem (siehe auch 17:07) findet sich in der Datei "passwd" auch der Nutzername "dif". In typischen Linux-Installationen bekommt der erste angelegte Benutzer die UID 1000. Dies ist in der Regel der primäre, nicht-administrative Nutzer, weshalb man davon ausgehen kann, dass dieser aktiv am System gearbeitet hat.

iii) Welches Passwort hat der Benutzer vermutlich verwendet? Siehe Befehle 17:24, mithilfe der Hinweise zum Aufbau des Passwortes, wurde ein Python Skript geschrieben, was alle 135000 Kombinationen erstellt hat (17:24). Außerdem wurde aus den Befehl um 17:10, der md5-crypt Hash gesichert. Ein Passwort-Hash ist eine verschlüsselte Darstellung eines Passworts, die aus dem Originalpasswort durch eine Einwegfunktion erzeugt wird das heißt: man kann den Hash nicht zurück rechnen, sondern nur prüfen, ob ein eingegebenes Passwort denselben Hash ergibt. Mithilfe dieses Hashes und der Liste aller möglichen Kombinationen, wurde das Programm Hashcat gestartet, welche dafür gemacht ist, Hashes zu knacken, um wieder an das Passwort zu kommen. Hashcat errechnet aus jedem dieser Kombinationen den Hash und vergleicht ihn mit unserem Passworthash. So kamen wir zu der Erkenntnis, dass das Passwort "22dif04" sein muss.

iv) Welche Dateien hat der Benutzer gespeichert und was waren die Inhalte? Die Dateien vom Nutzer, siehe Befehle 17:40, sind nach Recherche im Ordner "Pictures" gewesen. Dort findet sich einmal eine Schuhschnabel.png und eine Schuhschnabel.webp Datei. Beides sind Bildformate und zeigen Bilder des Schuhschabels.

Am Anfang und Ende wurden Hashwerte von dem Image erstellt und verglichen um die Integrität zu wahren, und beide Werte entsprachen dem selben Wert. Damit ist die Analyse beendet und hoffentlich alle Fragen beantwortet