Aufgaben Autopsy: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Aufgaben== *Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse. <!-- Lösung: "Add Data Source" → "Disk Image or VM F…“)
 
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
==Aufgaben==
+
== Aufgaben ==
 
+
*Laden Sie von https://xinux.de/downloads/usb.zip die Datei herunter und entpacken Sie den USB-Stick.
*Laden Sie das Image usb_ntfs.img in Autopsy (Java-Version) und starten Sie die Analyse.
+
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 
+
*Erstellen Sie mit Guymager ein forensisches Abbild des USB-Sticks im RAW-Format unter dem Namen usb_ntfs.img.
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Ingest Module "File Type Identification" und "Keyword Search" aktivieren -->
+
<!-- Lösung: Guymager starten → Stick auswählen → Acquire image → Format RAW (.dd) → Hash MD5/SHA1 berechnen lassen -->
 
+
*Importieren Sie das Abbild usb_ntfs.img in Autopsy (Java-Version) und beginnen Sie mit der Untersuchung.
*Finden Sie die gelöschte PowerPoint-Präsentation und stellen Sie sie wieder her.
+
<!-- Lösung: "Add Data Source" → "Disk Image or VM File" → usb_ntfs.img auswählen, Case Name vergeben, Module "File Type Identification" und "Keyword Search" aktivieren -->
 
+
*Suchen Sie im Bereich „Deleted Files“ die gelöschten Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
<!-- Lösung: Deleted Files durchsuchen, Datei "Meeting_2025.pptx" in /Marketing finden, Rechtsklick → Extract -->
+
<!-- Lösung: File Views → Deleted Files → Dateien markieren → Rechtsklick → Extract File(s) → Zielordner auswählen → Bilder öffnen und prüfen -->
 
+
*Recherchieren Sie in den Analyseergebnissen, welche Communication Accounts (E-Mail-Adressen) auf dem Stick gefunden wurden.
*Ermitteln Sie den genauen Löschzeitpunkt der Präsentation.
+
<!-- Lösung: Data Artifacts → Communication Accounts → Email → fünf Einträge mit den Adressen philbert@desanex.de, thomas.will@xinux.de, nagus@ferengie.com -->
 
+
*Ermitteln Sie, von wem die E-Mail mit dem Betreff „Re: Sonderlieferung Fahrräder“ in der Inbox stammt.
<!-- Lösung: MFT-Attribute analysieren, $STANDARD_INFORMATION und $FILE_NAME → Deleted: 2025-07-21 15:43:12 -->
+
<!-- Lösung: nagus@ferengie.com -->
 
+
*Prüfen Sie in den gesendeten Objekten, an welche Empfänger Nachrichten verschickt wurden.
*Finden Sie die gelöschten Fotos und stellen Sie mindestens eines vollständig wieder her.
+
<!-- Lösung: thomas.will@xinux.de; nagus@ferengie.com -->
 
+
*Lesen Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter für den Monat April ab.
<!-- Lösung: Deleted Files im Ordner /Privat, zwei JPEG-Dateien, eines unfragmentiert wiederherstellbar -->
+
<!-- Lösung: Felix Schulz = 5000 €, Nina Richter = 5400 € -->
 
+
*Filtern Sie aus den gespeicherten Web-Bookmarks alle Links heraus, die nicht zu kali.org gehören.
*Suchen Sie nach dem Begriff „Paletten#2021“ im Inhalt der Dateien und notieren Sie die Fundstelle.
+
<!-- Lösung: exploit-db.com, exploit-db.com/google-hacking-database, offsec.com -->
 
+
*Bestimmen Sie über die Browser-Historie, zu welchem Zeitpunkt der Tor-Browser heruntergeladen wurde.
<!-- Lösung: Keyword Search → Treffer in "Passwoerter_alt.txt" -->
+
<!-- Lösung: 17.10.2023, 18:52:06 CEST -->
 
+
*Lokalisieren Sie im $RECYCLE.BIN die Datei Passwoerter_alt.txt und geben Sie das darin enthaltene Passwort für den Benutzer martin an.
*Finden Sie die interne „Vertrauliche_PreisListe.docx“ und extrahieren Sie sie.
+
<!-- Lösung: Datei "Passwoerter_alt.txt" im Pfad $RECYCLE.BIN\S-1-5-21-987654321-123456789-123456789-1001 enthält "Paletten#2021" als Passwort für Benutzer martin -->
 
+
*Führen Sie eine Keyword-Suche (z. B. nach „vertraulich“) durch und fassen Sie den Zweck der darin erwähnten Stiftung kurz zusammen.
<!-- Lösung: Deleted Files durchsuchen, Datei "Vertrauliche_PreisListe.docx" finden und wiederherstellen -->
+
<!-- Lösung: Treffer in **stiftung.docx**; darin steht, dass **eine Stiftung gegründet werden soll, die das Jagen von Wildschweinen bekämpft** (vertrauliche Info im Kontext „Projekt Desanex-X1“). -->
 
+
*Überprüfen Sie, welche Videodateien auf dem USB-Stick gespeichert sind.
*Analysieren Sie die Datei „Projekt_Notizen.txt“ und notieren Sie den Punkt, der auf eine geplante Investition hinweist.
+
<!-- Lösung: Im Ordner **Videos** befindet sich die Datei *Die Geschichte des Fahrrads in 2 Minuten.mp4*. -->
 
 
<!-- Lösung: Textzeile "Budgetprüfung für neuen Gabelstapler" -->
 
 
 
==Bonusaufgaben==
 
 
 
*Versuchen Sie, Teile des Kündigungsschreibens aus unallocated space zu rekonstruieren.
 
 
 
<!-- Lösung: String Search "Kündigung" findet Textfragmente aus "Kuendigung_Mitarbeiter_Muster.pdf" -->
 
 
 
*Exportieren Sie die Metadaten der wiederhergestellten Präsentation und prüfen Sie, ob Autor-Informationen enthalten sind.
 
 
 
<!-- Lösung: PPTX Metadaten → Author: "Max Mustermann" -->
 

Aktuelle Version vom 15. August 2025, 12:17 Uhr

Aufgaben

  • Laden Sie von https://xinux.de/downloads/usb.zip die Datei herunter und entpacken Sie den USB-Stick.
  • Erstellen Sie mit Guymager ein forensisches Abbild des USB-Sticks im RAW-Format unter dem Namen usb_ntfs.img.
  • Importieren Sie das Abbild usb_ntfs.img in Autopsy (Java-Version) und beginnen Sie mit der Untersuchung.
  • Suchen Sie im Bereich „Deleted Files“ die gelöschten Bilder fahrrad3.jpeg und fahrrad6.jpeg und stellen Sie diese wieder her.
  • Recherchieren Sie in den Analyseergebnissen, welche Communication Accounts (E-Mail-Adressen) auf dem Stick gefunden wurden.
  • Ermitteln Sie, von wem die E-Mail mit dem Betreff „Re: Sonderlieferung Fahrräder“ in der Inbox stammt.
  • Prüfen Sie in den gesendeten Objekten, an welche Empfänger Nachrichten verschickt wurden.
  • Lesen Sie aus der Datei gehalt.xlsx das Bruttogehalt von Felix Schulz und Nina Richter für den Monat April ab.
  • Filtern Sie aus den gespeicherten Web-Bookmarks alle Links heraus, die nicht zu kali.org gehören.
  • Bestimmen Sie über die Browser-Historie, zu welchem Zeitpunkt der Tor-Browser heruntergeladen wurde.
  • Lokalisieren Sie im $RECYCLE.BIN die Datei Passwoerter_alt.txt und geben Sie das darin enthaltene Passwort für den Benutzer martin an.
  • Führen Sie eine Keyword-Suche (z. B. nach „vertraulich“) durch und fassen Sie den Zweck der darin erwähnten Stiftung kurz zusammen.
  • Überprüfen Sie, welche Videodateien auf dem USB-Stick gespeichert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Aufgaben_Autopsy&oldid=64310