<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Autopsy_Aufgabe</id>
	<title>Autopsy Aufgabe - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Autopsy_Aufgabe"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;action=history"/>
	<updated>2026-07-06T17:43:03Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;diff=71318&amp;oldid=prev</id>
		<title>Thomas.will am 23. Juni 2026 um 09:25 Uhr</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;diff=71318&amp;oldid=prev"/>
		<updated>2026-06-23T09:25:32Z</updated>

		<summary type="html">&lt;p&gt;&lt;/p&gt;
&lt;a href=&quot;//wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;amp;diff=71318&amp;amp;oldid=71317&quot;&gt;Änderungen zeigen&lt;/a&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;diff=71317&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „= Forensik-Szenario präparieren (Disk Salting) =  Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target (hier: Tiny11), damit Teilnehmer da…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Autopsy_Aufgabe&amp;diff=71317&amp;oldid=prev"/>
		<updated>2026-06-23T09:18:27Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „= Forensik-Szenario präparieren (Disk Salting) =  Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target (hier: Tiny11), damit Teilnehmer da…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;= Forensik-Szenario präparieren (Disk Salting) =&lt;br /&gt;
&lt;br /&gt;
Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target&lt;br /&gt;
(hier: Tiny11), damit Teilnehmer das Image anschließend in&lt;br /&gt;
[[Autopsy]] forensisch zerlegen und die Spuren rekonstruieren.&lt;br /&gt;
&lt;br /&gt;
Prinzip: nicht wahllos Dateien ablegen, sondern eine '''kohärente Story'''&lt;br /&gt;
inszenieren. Jeder Fund muss in die Erzählung passen, sonst entsteht kein&lt;br /&gt;
Ermittlungs-Narrativ. Am Ende steht ein [[#Lösungsschlüssel|Lösungsschlüssel]],&lt;br /&gt;
ohne den das Lab nicht bewertbar ist.&lt;br /&gt;
&lt;br /&gt;
== Szenario-Konzept ==&lt;br /&gt;
&lt;br /&gt;
;Beispiel-Story (Insider-Exfiltration)&lt;br /&gt;
:Mitarbeiter ''C. Mueller'' will vor der Kündigung Firmendaten mitnehmen.&lt;br /&gt;
:Er recherchiert eine Tauschplattform, lädt ein Pack-Tool, archiviert&lt;br /&gt;
:interne Dokumente, kopiert sie auf einen USB-Stick, löscht die Spuren&lt;br /&gt;
:und manipuliert Zeitstempel.&lt;br /&gt;
&lt;br /&gt;
Daraus ergeben sich automatisch die zu pflanzenden Artefakt-Klassen&lt;br /&gt;
(Browser, Execution, Dateisystem, USB, Anti-Forensik). Wer die Story&lt;br /&gt;
zuerst schreibt, säet konsistent.&lt;br /&gt;
&lt;br /&gt;
;Alternativ&lt;br /&gt;
:Malware-Infektion (Download → Ausführung → Persistenz → C2) – verzahnt&lt;br /&gt;
:sich gut mit der [[VulnSite]]-Angriffskette: das präparierte Image ist&lt;br /&gt;
:das Opfer-System, die Teilnehmer finden ihren eigenen Angriff wieder.&lt;br /&gt;
&lt;br /&gt;
== Vorbereitung ==&lt;br /&gt;
&lt;br /&gt;
;Saubere Ausgangslage sichern (Rückfallpunkt)&lt;br /&gt;
*VM herunterfahren, Snapshot anlegen&lt;br /&gt;
;Realistisches Benutzerprofil anlegen (nicht der Default-Admin)&lt;br /&gt;
*Konto ''cmueller'' anlegen, einloggen, kurz &amp;quot;leben&amp;quot; lassen&lt;br /&gt;
&lt;br /&gt;
Alle folgenden Schritte als ''cmueller'' interaktiv ausführen –&lt;br /&gt;
nur dann entstehen die userbezogenen Registry- und Prefetch-Spuren.&lt;br /&gt;
&lt;br /&gt;
== Artefakte säen ==&lt;br /&gt;
&lt;br /&gt;
=== Browser-Aktivität ===&lt;br /&gt;
&lt;br /&gt;
;Recherche + Download inszenieren (Edge/Firefox normal bedienen)&lt;br /&gt;
*Tauschplattform googeln, ein paar typed URLs erzeugen&lt;br /&gt;
*Pack-Tool (z.B. 7-Zip) &amp;quot;verdächtig&amp;quot; herunterladen&lt;br /&gt;
*ggf. Lesezeichen setzen&lt;br /&gt;
&lt;br /&gt;
Findbar später: History, Downloads, typed URLs, Cache.&lt;br /&gt;
&lt;br /&gt;
=== Execution-Artefakte ===&lt;br /&gt;
&lt;br /&gt;
;Programme mehrfach starten (erzeugt Prefetch + UserAssist)&lt;br /&gt;
*heruntergeladenes Tool 2–3x per Doppelklick ausführen&lt;br /&gt;
;Win+R-Befehle absetzen (RunMRU)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
powershell&lt;br /&gt;
cmd&lt;br /&gt;
\\2XX.2XX.2XX.2XX\share&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Dokumente öffnen (RecentDocs, JumpLists, LNK)&lt;br /&gt;
*ein paar .docx/.pdf öffnen&lt;br /&gt;
&lt;br /&gt;
Findbar: Prefetch, UserAssist, ShimCache/AmCache, RecentDocs, LNK.&lt;br /&gt;
&lt;br /&gt;
=== Dateisystem &amp;amp; Exfil ===&lt;br /&gt;
&lt;br /&gt;
;Interne Dokumente archivieren (das &amp;quot;Diebesgut&amp;quot;)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;quot;C:\Program Files\7-Zip\7z.exe&amp;quot; a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Datei mit irreführender Endung tarnen&lt;br /&gt;
*projekt_export.7z → urlaubsfotos.jpg umbenennen&lt;br /&gt;
;Alternate Data Stream verstecken (klassischer Finde-Trick)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
cmd /c &amp;quot;echo PASSWORT: 2Xstreng-geheimX2 &amp;gt; C:\Users\cmueller\Desktop\notiz.txt:hidden.txt&amp;quot;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Datei löschen → später recovern&lt;br /&gt;
*ein belastendes Dokument erstellen, dann in den Papierkorb&lt;br /&gt;
;Papierkorb teilweise leeren (erzeugt $I/$R bzw. gelöschte Reste)&lt;br /&gt;
&lt;br /&gt;
Findbar: gelöschte Dateien (Carving), Recycle Bin, ADS, Extension-Mismatch.&lt;br /&gt;
&lt;br /&gt;
=== USB-Artefakte ===&lt;br /&gt;
&lt;br /&gt;
;USB-Stick virtuell durchreichen und Datei drauf kopieren&lt;br /&gt;
*in VirtualBox/Proxmox USB-Device an die VM binden&lt;br /&gt;
*projekt_export auf den Stick kopieren, Stick &amp;quot;abziehen&amp;quot;&lt;br /&gt;
&lt;br /&gt;
Findbar: USBSTOR-Registry, setupapi.dev.log, MountedDevices, ShellBags.&lt;br /&gt;
&lt;br /&gt;
=== Kommunikation / Credentials (optional, Hollywood-Würze) ===&lt;br /&gt;
&lt;br /&gt;
;Verräterischen Text ablegen&lt;br /&gt;
*Mailentwurf oder notiz.txt: &amp;quot;Stick ist abholbereit, Treffpunkt 2X Uhr&amp;quot;&lt;br /&gt;
;Passwortdatei &amp;quot;vergessen&amp;quot;&lt;br /&gt;
*passwoerter.txt im Profil&lt;br /&gt;
&lt;br /&gt;
=== Steganografie (CTF-Element, optional) ===&lt;br /&gt;
&lt;br /&gt;
;Flag in einem Bild verstecken (auf einer Linux-Box vorbereiten)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
steghide embed -cf urlaub.jpg -ef flag.txt -p 2Xgeheim2X&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
*Bild danach auf das Target legen&lt;br /&gt;
&lt;br /&gt;
== Anti-Forensik (Fortgeschrittene) ==&lt;br /&gt;
&lt;br /&gt;
Macht das Lab realistischer und liefert eigene Lernziele (Manipulation&lt;br /&gt;
erkennen). Bewusst dosieren.&lt;br /&gt;
&lt;br /&gt;
;Zeitstempel manipulieren (Timestomping)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg&lt;br /&gt;
$f.LastWriteTime  = &amp;quot;2020-01-01 02:00:00&amp;quot;&lt;br /&gt;
$f.CreationTime   = &amp;quot;2020-01-01 02:00:00&amp;quot;&lt;br /&gt;
$f.LastAccessTime = &amp;quot;2020-01-01 02:00:00&amp;quot;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Eventlog leeren (hinterlässt selbst eine Spur: Event 1102)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
wevtutil cl Security&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Hinweis: Anti-Forensik nur, wenn die Auswertung das auch thematisiert –&lt;br /&gt;
sonst frustriert es ohne Lernziel.&lt;br /&gt;
&lt;br /&gt;
== Settling &amp;amp; Imaging ==&lt;br /&gt;
&lt;br /&gt;
;Artefakte setzen lassen (Registry-Flush, Prefetch)&lt;br /&gt;
*System normal weiternutzen, 1–2x sauber neu starten&lt;br /&gt;
;Sauber herunterfahren (KEIN Imaging im laufenden Betrieb)&lt;br /&gt;
*konsistentes Dateisystem ist Pflicht&lt;br /&gt;
;Acquiring (Detail siehe [[Autopsy]])&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
qemu-img convert -O raw tiny11.qcow2 tiny11.raw&lt;br /&gt;
ewfacquire tiny11.raw          # optional → E01 mit Hash + Metadaten&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Hash vor Verteilung ziehen (Integrität / Chain of Custody)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
sha256sum tiny11.E01&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
&lt;br /&gt;
== Lösungsschlüssel ==&lt;br /&gt;
&lt;br /&gt;
Für DICH als Dozent – nicht an Teilnehmer ausgeben. Tabelle pflegen,&lt;br /&gt;
sonst ist das Lab nicht bewertbar.&lt;br /&gt;
&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Nr !! Artefakt !! Fundort !! Autopsy-Modul&lt;br /&gt;
|-&lt;br /&gt;
| 1 || Download Pack-Tool || Edge/Firefox History || Web Artifacts&lt;br /&gt;
|-&lt;br /&gt;
| 2 || Tool-Ausführung || Prefetch / UserAssist || Recent Activity&lt;br /&gt;
|-&lt;br /&gt;
| 3 || Exfil-Archiv (getarnt) || Desktop, Extension-Mismatch || File Type / Hash&lt;br /&gt;
|-&lt;br /&gt;
| 4 || ADS hidden.txt || notiz.txt:hidden.txt || File System&lt;br /&gt;
|-&lt;br /&gt;
| 5 || Gelöschtes Dokument || Recycle Bin / unallocated || Deleted Files&lt;br /&gt;
|-&lt;br /&gt;
| 6 || USB-Insertion || USBSTOR, setupapi.dev.log || Recent Activity&lt;br /&gt;
|-&lt;br /&gt;
| 7 || Timestomping || urlaubsfotos.jpg (MAC inkonsistent) || Timeline&lt;br /&gt;
|-&lt;br /&gt;
| 8 || Eventlog-Löschung || Security Event 1102 || Keyword / Logs&lt;br /&gt;
|-&lt;br /&gt;
| 9 || Steg-Flag || urlaub.jpg || (manuell, steghide)&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
== Aufgaben ==&lt;br /&gt;
&lt;br /&gt;
;Stub – noch zu bauen (analog [[theHarvester]]/[[nmap]]-Aufgaben)&lt;br /&gt;
:Geführte Discovery: Teilnehmer rekonstruieren die Story chronologisch&lt;br /&gt;
:über die Timeline und belegen jeden Schritt mit dem passenden Artefakt.&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Forensik]]&lt;br /&gt;
[[Kategorie:Cybersec-2]]&lt;br /&gt;
[[Kategorie:Autopsy]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>