Aufgaben Autopsy: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
== Aufgaben == | == Aufgaben == | ||
*Lade von https://xinux.de/downloads/usb-win11.zip runter und entpacke den Stick. | *Lade von https://xinux.de/downloads/usb-win11.zip runter und entpacke den Stick. | ||
| − | |||
*Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img). | *Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img). | ||
| − | |||
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen --> | <!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen --> | ||
| − | |||
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse. | *Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse. | ||
| − | |||
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren --> | <!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren --> | ||
| − | |||
*Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her. | *Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her. | ||
| − | |||
<!-- Lösung: Keyword Search nach "Paletten#2021" führt zu gelöschter Datei "Passwoerter_alt.txt" --> | <!-- Lösung: Keyword Search nach "Paletten#2021" führt zu gelöschter Datei "Passwoerter_alt.txt" --> | ||
| − | |||
*Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“. | *Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“. | ||
| − | |||
<!-- Lösung: EK-Preis 12,00 € --> | <!-- Lösung: EK-Preis 12,00 € --> | ||
| − | |||
*Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her. | *Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her. | ||
| − | |||
<!-- Lösung: $RECYCLE.BIN → Unterordner mit $R... → mehrere JPG/WEBP-Dateien wiederherstellen --> | <!-- Lösung: $RECYCLE.BIN → Unterordner mit $R... → mehrere JPG/WEBP-Dateien wiederherstellen --> | ||
| − | |||
*Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind. | *Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind. | ||
| − | |||
<!-- Lösung: z. B. "anchor.html" oder "saved_resource.html" → enthält Verweise auf externe JS/CSS --> | <!-- Lösung: z. B. "anchor.html" oder "saved_resource.html" → enthält Verweise auf externe JS/CSS --> | ||
| − | |||
*Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist. | *Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist. | ||
| − | |||
<!-- Lösung: "Budgetprüfung für neuen Gabelstapler" --> | <!-- Lösung: "Budgetprüfung für neuen Gabelstapler" --> | ||
| − | |||
*Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor. | *Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor. | ||
| − | |||
<!-- Lösung: PDF-Metadaten → Autor-Feld je nach Dateiinhalt --> | <!-- Lösung: PDF-Metadaten → Autor-Feld je nach Dateiinhalt --> | ||
| − | |||
== Bonusaufgaben == | == Bonusaufgaben == | ||
| − | |||
*Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname). | *Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname). | ||
| − | |||
<!-- Lösung: 9 MP3-Dateien, längster Dateiname "Audio Maniacs - Adios Muchacho.mp3" --> | <!-- Lösung: 9 MP3-Dateien, längster Dateiname "Audio Maniacs - Adios Muchacho.mp3" --> | ||
| − | |||
*Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben. | *Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben. | ||
| − | |||
<!-- Lösung: Metadaten der JFIF-Dateien prüfen – vermutlich unterschiedliche EXIF-Daten --> | <!-- Lösung: Metadaten der JFIF-Dateien prüfen – vermutlich unterschiedliche EXIF-Daten --> | ||
Version vom 14. August 2025, 06:37 Uhr
Aufgaben
- Lade von https://xinux.de/downloads/usb-win11.zip runter und entpacke den Stick.
- Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
- Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
- Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her.
- Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“.
- Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her.
- Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind.
- Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist.
- Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor.
Bonusaufgaben
- Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).
- Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben.