Aufgaben Autopsy: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
== Aufgaben ==
 
== Aufgaben ==
*Lade von https://xinux.de/downloads/usb-win11.zip runter und entpacke den Stick.
+
*Laden Sie von https://xinux.de/downloads/usb.zip die Datei herunter und entpacken Sie den USB-Stick.
*Erstellen Sie mit Guymager ein forensisches Image des USB-Sticks im RAW-Format (usb_ntfs.img).
 
 
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
+
*Erstellen Sie mit Guymager ein forensisches Abbild des USB-Sticks im RAW-Format unter dem Namen usb_ntfs.img.
 +
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 +
*Importieren Sie das Abbild usb_ntfs.img in Autopsy (Java-Version) und beginnen Sie mit der Untersuchung.
 
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
 
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
*Finden Sie im $RECYCLE.BIN oder im Bereich gelöschter Dateien (Deleted Files) die Datei Passwoerter_alt.txt und stellen Sie sie wieder her.
+
*Suchen Sie im Bereich „Deleted Files“ die gelöschten Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
<!-- Lösung: Keyword Search nach "Paletten#2021" führt zu gelöschter Datei "Passwoerter_alt.txt" -->
+
<!-- Lösung: File Views → Deleted Files → Dateien markieren → Rechtsklick → Extract File(s) → Zielordner auswählen → Bilder öffnen und prüfen -->
*Finden Sie die gelöschte Datei Vertrauliche_PreisListe.docx und notieren Sie den Einkaufspreis für „Kunststoffpalette neu“.
+
*Recherchieren Sie in den Analyseergebnissen, welche Communication Accounts (E-Mail-Adressen) auf dem Stick gefunden wurden.
<!-- Lösung: EK-Preis 12,00 € -->
+
<!-- Lösung: Data Artifacts → Communication Accounts → Email → fünf Einträge mit den Adressen philbert@desanex.de, thomas.will@xinux.de, nagus@ferengie.com -->
*Finden Sie im $RECYCLE.BIN mindestens zwei gelöschte Bilddateien und stellen Sie diese wieder her.
+
*Ermitteln Sie, von wem die E-Mail mit dem Betreff „Re: Sonderlieferung Fahrräder“ in der Inbox stammt.
<!-- Lösung: $RECYCLE.BIN → Unterordner mit $R... → mehrere JPG/WEBP-Dateien wiederherstellen -->
+
<!-- Lösung: nagus@ferengie.com -->
*Analysieren Sie den HTML- oder JS-Inhalt einer gelöschten Datei im $RECYCLE.BIN und notieren Sie, ob externe Ressourcen eingebunden sind.
+
*Prüfen Sie in den gesendeten Objekten, an welche Empfänger Nachrichten verschickt wurden.
<!-- Lösung: z. B. "anchor.html" oder "saved_resource.html" → enthält Verweise auf externe JS/CSS -->
+
<!-- Lösung: thomas.will@xinux.de; nagus@ferengie.com -->
*Analysieren Sie Projekt_Notizen.txt und finden Sie den Punkt, der auf eine geplante Investition hinweist.
+
*Lesen Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter für den Monat April ab.
<!-- Lösung: "Budgetprüfung für neuen Gabelstapler" -->
+
<!-- Lösung: Felix Schulz = 5000 €, Nina Richter = 5400 € -->
*Extrahieren Sie die Metadaten der Datei expertise.pdf aus dem Ordner Marketing und notieren Sie den Autor.
+
*Filtern Sie aus den gespeicherten Web-Bookmarks alle Links heraus, die nicht zu kali.org gehören.
<!-- Lösung: PDF-Metadaten → Autor-Feld je nach Dateiinhalt -->
+
<!-- Lösung: exploit-db.com, exploit-db.com/google-hacking-database, offsec.com -->
== Bonusaufgaben ==
+
*Bestimmen Sie über die Browser-Historie, zu welchem Zeitpunkt der Tor-Browser heruntergeladen wurde.
*Ermitteln Sie, wie viele MP3-Dateien im Ordner Privat/Musik liegen und nennen Sie den längsten Titel (Dateiname).
+
<!-- Lösung: 17.10.2023, 18:52:06 CEST -->
<!-- Lösung: 9 MP3-Dateien, längster Dateiname "Audio Maniacs - Adios Muchacho.mp3" -->
+
*Lokalisieren Sie im $RECYCLE.BIN die Datei Passwoerter_alt.txt und geben Sie das darin enthaltene Passwort für den Benutzer martin an.
*Untersuchen Sie den Ordner Privat/Urlaub und stellen Sie fest, ob alle Bilder das gleiche Aufnahmedatum haben.
+
<!-- Lösung: Datei "Passwoerter_alt.txt" im Pfad $RECYCLE.BIN\S-1-5-21-987654321-123456789-123456789-1001 enthält "Paletten#2021" als Passwort für Benutzer martin -->
<!-- Lösung: Metadaten der JFIF-Dateien prüfen – vermutlich unterschiedliche EXIF-Daten -->
+
*Führen Sie eine Keyword-Suche (z. B. nach „vertraulich“) durch und fassen Sie den Zweck der darin erwähnten Stiftung kurz zusammen.
 +
<!-- Lösung: Treffer in **stiftung.docx**; darin steht, dass **eine Stiftung gegründet werden soll, die das Jagen von Wildschweinen bekämpft** (vertrauliche Info im Kontext „Projekt Desanex-X1“). -->
 +
*Überprüfen Sie, welche Videodateien auf dem USB-Stick gespeichert sind.
 +
<!-- Lösung: Im Ordner **Videos** befindet sich die Datei *Die Geschichte des Fahrrads in 2 Minuten.mp4*. -->

Aktuelle Version vom 15. August 2025, 12:17 Uhr

Aufgaben

  • Laden Sie von https://xinux.de/downloads/usb.zip die Datei herunter und entpacken Sie den USB-Stick.
  • Erstellen Sie mit Guymager ein forensisches Abbild des USB-Sticks im RAW-Format unter dem Namen usb_ntfs.img.
  • Importieren Sie das Abbild usb_ntfs.img in Autopsy (Java-Version) und beginnen Sie mit der Untersuchung.
  • Suchen Sie im Bereich „Deleted Files“ die gelöschten Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
  • Recherchieren Sie in den Analyseergebnissen, welche Communication Accounts (E-Mail-Adressen) auf dem Stick gefunden wurden.
  • Ermitteln Sie, von wem die E-Mail mit dem Betreff „Re: Sonderlieferung Fahrräder“ in der Inbox stammt.
  • Prüfen Sie in den gesendeten Objekten, an welche Empfänger Nachrichten verschickt wurden.
  • Lesen Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter für den Monat April ab.
  • Filtern Sie aus den gespeicherten Web-Bookmarks alle Links heraus, die nicht zu kali.org gehören.
  • Bestimmen Sie über die Browser-Historie, zu welchem Zeitpunkt der Tor-Browser heruntergeladen wurde.
  • Lokalisieren Sie im $RECYCLE.BIN die Datei Passwoerter_alt.txt und geben Sie das darin enthaltene Passwort für den Benutzer martin an.
  • Führen Sie eine Keyword-Suche (z. B. nach „vertraulich“) durch und fassen Sie den Zweck der darin erwähnten Stiftung kurz zusammen.
  • Überprüfen Sie, welche Videodateien auf dem USB-Stick gespeichert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Aufgaben_Autopsy&oldid=64310