Aufgaben Autopsy: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
== Aufgaben ==
 
== Aufgaben ==
*Lade von https://xinux.de/downloads/usb-win11.zip runter und entpacke den Stick.
+
*Lade von https://xinux.de/downloads/usb.zip runter und entpacke den Stick.
 
*Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
 
*Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
 
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
 
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
 
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
 
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
*Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her.
+
*Finden Sie im Bereich gelöschter Dateien (Deleted Files) die Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
<!-- Lösung: Keyword Search nach "Paletten#2021" führt zu gelöschter Datei "Passwoerter_alt.txt" -->
+
<!-- Lösung: File Views → Deleted Files → Dateien markieren → Rechtsklick → Extract File(s) → Zielordner auswählen → Bilder öffnen und prüfen -->
*Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“.
+
*Ermitteln Sie anhand der Analyseergebnisse, welche Communication Accounts (E-Mail-Konten) auf dem Datenträger gefunden wurden.
<!-- Lösung: EK-Preis 12,00 € -->
+
<!-- Lösung: Data Artifacts → Communication Accounts → Email → fünf Einträge mit den Adressen philbert@desanex.de, thomas.will@xinux.de, nagus@ferengie.com -->
*Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her.
+
*Ermitteln Sie den Absender der E-Mail in der Inbox mit dem Betreff „Re: Sonderlieferung Fahrräder“.
<!-- Lösung: $RECYCLE.BIN → Unterordner mit $R... → mehrere JPG/WEBP-Dateien wiederherstellen -->
+
<!-- Lösung: nagus@ferengie.com -->
*Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind.
+
*Ermitteln Sie anhand der gesendeten Objekte, an welche Empfänger E-Mails verschickt wurden.
<!-- Lösung: z. B. "anchor.html" oder "saved_resource.html" → enthält Verweise auf externe JS/CSS -->
+
<!-- Lösung: thomas.will@xinux.de; nagus@ferengie.com -->
*Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist.
+
*Ermitteln Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter im April.
<!-- Lösung: "Budgetprüfung für neuen Gabelstapler" -->
+
<!-- Lösung: Felix Schulz = 5000 €, Nina Richter = 5400 € -->
*Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor.
+
*Ermitteln Sie aus den Web-Bookmarks alle gespeicherten Links, die nicht zu kali.org gehören.
<!-- Lösung: PDF-Metadaten → Autor-Feld je nach Dateiinhalt -->
+
<!-- Lösung: exploit-db.com, exploit-db.com/google-hacking-database, offsec.com -->
 +
*Ermitteln Sie anhand der Browser-Historie, wann der Tor-Browser heruntergeladen wurde.
 +
<!-- Lösung: 17.10.2023, 18:52:06 CEST -->
 +
*Finden Sie im Ordner $RECYCLE.BIN die Datei Passwoerter_alt.txt und ermitteln Sie das Passwort für den Benutzer martin.
 +
<!-- Lösung: Datei "Passwoerter_alt.txt" im Pfad $RECYCLE.BIN\S-1-5-21-987654321-123456789-123456789-1001 enthält "Paletten#2021" als Passwort für Benutzer martin -->
 +
 
 
== Bonusaufgaben ==
 
== Bonusaufgaben ==
 
*Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).
 
*Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).

Version vom 15. August 2025, 12:07 Uhr

Aufgaben

  • Lade von https://xinux.de/downloads/usb.zip runter und entpacke den Stick.
  • Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
  • Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
  • Finden Sie im Bereich gelöschter Dateien (Deleted Files) die Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
  • Ermitteln Sie anhand der Analyseergebnisse, welche Communication Accounts (E-Mail-Konten) auf dem Datenträger gefunden wurden.
  • Ermitteln Sie den Absender der E-Mail in der Inbox mit dem Betreff „Re: Sonderlieferung Fahrräder“.
  • Ermitteln Sie anhand der gesendeten Objekte, an welche Empfänger E-Mails verschickt wurden.
  • Ermitteln Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter im April.
  • Ermitteln Sie aus den Web-Bookmarks alle gespeicherten Links, die nicht zu kali.org gehören.
  • Ermitteln Sie anhand der Browser-Historie, wann der Tor-Browser heruntergeladen wurde.
  • Finden Sie im Ordner $RECYCLE.BIN die Datei Passwoerter_alt.txt und ermitteln Sie das Passwort für den Benutzer martin.

Bonusaufgaben

  • Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).
  • Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Aufgaben_Autopsy&oldid=64305