Aufgaben Autopsy: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Aufgaben== *Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse. <!-- Lösung: "Add Data Source" → "Disk Image or VM F…“)
 
Zeile 1: Zeile 1:
==Aufgaben==
+
== Aufgaben ==
 +
 
 +
*Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
 +
 
 +
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
  
 
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
 
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
  
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Ingest Module "File Type Identification" und "Keyword Search" aktivieren -->
+
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
  
*Finden Sie die gelöschte PowerPoint-Präsentation und stellen Sie sie wieder her.
+
*Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her.
  
<!-- Lösung: Deleted Files durchsuchen, Datei "Meeting_2025.pptx" in /Marketing finden, Rechtsklick → Extract -->
+
<!-- Lösung: Keyword Search nach "Paletten#2021" führt zu gelöschter Datei "Passwoerter_alt.txt" -->
  
*Ermitteln Sie den genauen Löschzeitpunkt der Präsentation.
+
*Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“.
  
<!-- Lösung: MFT-Attribute analysieren, $STANDARD_INFORMATION und $FILE_NAME → Deleted: 2025-07-21 15:43:12 -->
+
<!-- Lösung: EK-Preis 12,00 € -->
  
*Finden Sie die gelöschten Fotos und stellen Sie mindestens eines vollständig wieder her.
+
*Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her.
  
<!-- Lösung: Deleted Files im Ordner /Privat, zwei JPEG-Dateien, eines unfragmentiert wiederherstellbar -->
+
<!-- Lösung: $RECYCLE.BIN → Unterordner mit $R... → mehrere JPG/WEBP-Dateien wiederherstellen -->
  
*Suchen Sie nach dem Begriff „Paletten#2021“ im Inhalt der Dateien und notieren Sie die Fundstelle.
+
*Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind.
  
<!-- Lösung: Keyword Search → Treffer in "Passwoerter_alt.txt" -->
+
<!-- Lösung: z. B. "anchor.html" oder "saved_resource.html" → enthält Verweise auf externe JS/CSS -->
  
*Finden Sie die interne „Vertrauliche_PreisListe.docx“ und extrahieren Sie sie.
+
*Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist.
  
<!-- Lösung: Deleted Files durchsuchen, Datei "Vertrauliche_PreisListe.docx" finden und wiederherstellen -->
+
<!-- Lösung: "Budgetprüfung für neuen Gabelstapler" -->
  
*Analysieren Sie die Datei „Projekt_Notizen.txt“ und notieren Sie den Punkt, der auf eine geplante Investition hinweist.
+
*Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor.
  
<!-- Lösung: Textzeile "Budgetprüfung für neuen Gabelstapler" -->
+
<!-- Lösung: PDF-Metadaten → Autor-Feld je nach Dateiinhalt -->
  
==Bonusaufgaben==
+
== Bonusaufgaben ==
  
*Versuchen Sie, Teile des Kündigungsschreibens aus unallocated space zu rekonstruieren.
+
*Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).
  
<!-- Lösung: String Search "Kündigung" findet Textfragmente aus "Kuendigung_Mitarbeiter_Muster.pdf" -->
+
<!-- Lösung: 9 MP3-Dateien, längster Dateiname "Audio Maniacs - Adios Muchacho.mp3" -->
  
*Exportieren Sie die Metadaten der wiederhergestellten Präsentation und prüfen Sie, ob Autor-Informationen enthalten sind.
+
*Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben.
  
<!-- Lösung: PPTX Metadaten → Author: "Max Mustermann" -->
+
<!-- Lösung: Metadaten der JFIF-Dateien prüfen – vermutlich unterschiedliche EXIF-Daten -->

Version vom 14. August 2025, 06:31 Uhr

Aufgaben

  • Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).


  • Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.


  • Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her.


  • Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“.


  • Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her.


  • Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind.


  • Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist.


  • Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor.


Bonusaufgaben

  • Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).


  • Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben.


Abgerufen von „http://wiki.ixheim.de/index.php?title=Aufgaben_Autopsy&oldid=64265