Computer Forensik (Praktikum 5)

Im letzten Praktikum fahren wir mit der Analyse der Windows-Installation aus dem vierten Praktikum fort. Wir extrahieren in diesem Kontext Informationen aus den Anwendungsdatenbanken von Mozilla Firefox und Microsoft Skype. Weiterhin suchen wir nach versteckten Dateien auf der Partition und wenden kryptographische Werkzeuge zur Entschlüsselung von geschützten Dateien an.

Skript-Anfang	Praktikum 5 – Seite 1
Skript-Ende	Praktikum 5 – Seite 1

Anwendungsforensik

Zur Lösung folgender Aufgaben verwenden Sie partition_1.dd.

Sicherstellung der Integrität

Wir bestimmten zunächst die Hashshumme des Images und gleichen dieses mit dem vorherigen Praktikum ab, um die Unverändertheit unserer Arbeitskopie zu ermitteln.

$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd

Firefox

Wo befinden sich die Firefox-Dateien und wie können Sie diese sichern?

Es gibt einige Standardpfade unter denen Dateien des Firefox-Browsers abgelegt werden. Wir schauen uns zunächst die Installationsinformationen diesbezüglich über regripper an, um zu erfahren, wo die Firefox-Instanz installiert wurde.

[...]

App Paths
Microsoft\Windows\CurrentVersion\App Paths

	Sun Mar 30 16:55:51 2014 (UTC)
	firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe
	
[...]

Laut der Registry liegt die Installation des Firefox somit unter C:\Program Files\Mozilla Firefox\firefox.exe. Interessanter sind jedoch die Profile und damit verbunden der Browser-Verlauf und die Favoriten. Da wir nun auf Anwendungsebene arbeiten, ist das Mounten des Images und das Durchsuchen auf Dateisystemebene absolut legitim. Um keine Daten zu verändern, mounten wir mit readonly als Parameter.

$ sudo mount -o ro partition_1.dd /mnt

Mittels find können wir nun nach Dateien mit vielversprechenden Zeichenketten im Namen suchen.

$ find /mnt/ -name "*Moz*"
/mnt/Documents and Settings/All Users/Application Data/Mozilla
/mnt/Documents and Settings/All Users/Desktop/Mozilla Firefox.lnk
/mnt/Documents and Settings/All Users/Start Menu/Programs/Mozilla Firefox.lnk
/mnt/Documents and Settings/Owner/Application Data/Microsoft/Internet Explorer/Quick Launch/Mozilla Firefox.lnk
/mnt/Documents and Settings/Owner/Application Data/Mozilla
/mnt/Documents and Settings/Owner/Favorites/Downloads/Programs/Mozilla Thunderbird - Free eMail Program.url
/mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla
/mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla/Firefox/Mozilla Firefox
/mnt/Program Files/Mozilla Firefox
/mnt/Program Files/Mozilla Maintenance Service

Da wir uns konkret für den Anwender Owner interessieren, sind nur die Pfade /mnt/Documents and Settings/Owner/Application Data/Mozilla und /mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla für uns von Interesse. Üblicherweise sind unter Application Data die Profile des Firefox abgelegt. Wir packen das vorhandene Profil in ein Archiv und berechnen eine Hashsumme, um die Dateien wie gefordert zu sichern.

$ zip -r /home/mkr/Downloads/profile.zip fq5mn4su.default/
  adding: fq5mn4su.default/ (stored 0%)
  adding: fq5mn4su.default/extensions/ (stored 0%)
  adding: fq5mn4su.default/extensions/savedpasswordeditor@daniel.dawson.xpi (deflated 9%)
  adding: fq5mn4su.default/minidumps/ (stored 0%)
  adding: fq5mn4su.default/secmod.db (deflated 97%)
  adding: fq5mn4su.default/addons.json (deflated 67%)
  adding: fq5mn4su.default/blocklist.xml (deflated 89%)
  adding: fq5mn4su.default/bookmarkbackups/ (stored 0%)
  adding: fq5mn4su.default/bookmarkbackups/bookmarks-2014-03-30_8.json (deflated 73%)
  adding: fq5mn4su.default/bookmarkbackups/bookmarks-2014-03-31_5.json (deflated 67%)
  adding: fq5mn4su.default/cert8.db (deflated 78%)
  adding: fq5mn4su.default/compatibility.ini (deflated 29%)
  adding: fq5mn4su.default/content-prefs.sqlite (deflated 100%)
  adding: fq5mn4su.default/cookies.sqlite (deflated 83%)
  adding: fq5mn4su.default/parent.lock (stored 0%)
  adding: fq5mn4su.default/permissions.sqlite (deflated 98%)
  adding: fq5mn4su.default/places.sqlite (deflated 97%)
  adding: fq5mn4su.default/pluginreg.dat (deflated 61%)
  adding: fq5mn4su.default/prefs.js (deflated 67%)
  adding: fq5mn4su.default/search.json (deflated 70%)
  adding: fq5mn4su.default/sessionstore.bak (deflated 63%)
  adding: fq5mn4su.default/sessionstore.js (deflated 74%)
  adding: fq5mn4su.default/signons.sqlite (deflated 100%)
  adding: fq5mn4su.default/storage/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/.metadata (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/818200132aebmoouht/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/818200132aebmoouht.sqlite (deflated 96%)
  adding: fq5mn4su.default/times.json (stored 0%)
  adding: fq5mn4su.default/urlclassifierkey3.txt (deflated 5%)
  adding: fq5mn4su.default/webapps/ (stored 0%)
  adding: fq5mn4su.default/webapps/webapps.json (stored 0%)
  adding: fq5mn4su.default/webappsstore.sqlite (deflated 98%)
  adding: fq5mn4su.default/extensions.ini (deflated 27%)
  adding: fq5mn4su.default/extensions.json (deflated 70%)
  adding: fq5mn4su.default/formhistory.sqlite (deflated 99%)
  adding: fq5mn4su.default/healthreport/ (stored 0%)
  adding: fq5mn4su.default/healthreport.sqlite (deflated 99%)
  adding: fq5mn4su.default/key3.db (deflated 97%)
  adding: fq5mn4su.default/localstore.rdf (deflated 78%)
  adding: fq5mn4su.default/mimeTypes.rdf (deflated 82%)

$ sha256sum /home/mkr/Downloads/profile.zip \n5b977147f030fc55e02cfabdf363884b75d844cd7586aad177a007e25945b2ee  /home/mkr/Downloads/profile.zip

Welche Websites wurden besucht?

Wir verwenden die Datenbankdatei places.sqlite für alle folgenden Aufgaben als bevorzugte Datenquelle. Wir untersuchen die Datenbankstruktur mittels sqlitebrowser und entwerfen entsprechende SQL-Anfragen, um in den folgenden Schritten die Daten zu extrahieren. Zunächst betrachten wir jedoch die History im Browser.

Über das Kontextmenü kann die komplette Verlaufstabelle kopiert und ins unseren Bericht eingefügt werden. Der folgende Block enthält alle Seiten, die in der History des Browsers aufgeführt werden.

https://login.live.com/login.srf?wa=wsignin1.0&ct=1396258049&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
http://www.truecrypt.org/download/transient/5b5a677a9e150db8de7b/TrueCrypt%20Setup%207.1a.exe
http://www.truecrypt.org/downloads
http://www.truecrypt.org/
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.truecrypt.org%2F&ei=0TQ5U_DpCsrLsgaTo4CACA&usg=AFQjCNH8UXHuTTPFsxxhk9LfQtfx7CG5Pg&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=truecrypt&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=cr&ei=0DQ5U8OsM8mK8QfxjIBg
https://login.live.com/login.srf?wa=wsignin1.0&ct=1396257104&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
http://goldesel.to/
https://www.steganos.com/scripts/thankyou/?utm_campaign=sss15&utm_medium=trial&utm_source=steganos&g=3e8f62eb-ee32-4207-a885-bc4da661037c&p=sss15&l=en&v=15.2.1
https://file.steganos.com/software/downloader/steganos/sss15intdle.exe
https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/download/
https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/features/
https://www.steganos.com/de/
http://www.pc-magazin.de/testbericht/sicherheitsprogramme-hide-and-seek-90063.html
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.pc-magazin.de%2Ftestbericht%2Fsicherheitsprogramme-hide-and-seek-90063.html&ei=3gQ4U8XiM4XLtQblmYCoCw&usg=AFQjCNE3AANamxm8wrAfT738ORhzlUI1xA&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=steganos+hide+seek&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=3gQ4U46NIsiK8QfLuYEo
http://de.msn.com/?ocid=mailsignout
https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html
https://login.live.com/logout.srf?ct=1396180070&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de
https://bay181.mail.live.com/default.aspx?id=64855
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179979&rver=6.4.6456.0&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fbay181.mail.live.com%2Fdefault.aspx%3Fid%3D64855&lc=1031&id=64855&mkt=de-DE&cbcxt=mai
https://addons.mozilla.org/de/firefox/addon/saved-password-editor/
https://www.google.de/search?q=firefox+saved+passort+editor&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=5AM4U6_WKMOK8QerxIEg
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179732&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1
https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTuNPgl_f4uOpcRjYd1WdaAYIq4fpZr2IFRE-EO6dUWuppnbwocow
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=cheerleader&rls=org.mozilla:de:official&tbm=isch
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=v+vendetta&rls=org.mozilla:de:official&tbm=isch
https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcRhyWHcxF5G_4NtHB8GPS3dC2NIEYwmMWVzVWZ8t0rAoXMAbRUPow
http://www.google.de/imgres?imgurl=http%3A%2F%2Fimage.karneval-megastore.de%2Fbig%2F114915_phantom_big.jpg&imgrefurl=http%3A%2F%2Fwww.karneval-megastore.de%2Fhtml%2Fproduct_info.php%3Fproducts_id%3D18164&h=300&w=275&tbnid=JlWSbpToLvoPKM%3A&zoom=1&docid=xPSS4iC5LYlaJM&ei=Mfs3U9ybHJDMsgbw1IHIDQ&tbm=isch&iact=rc&dur=655&page=12&start=109&ndsp=11&ved=0CCQQrQMwCjhk
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457
https://www.google.de/search?q=phantom&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=ctrl&ei=J_s3U_3jAsGK8QfwloEg&gws_rd=cr
https://www.google.de/search?q=porn&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=tPo3U8fZMsqK8QfopoFQ&gws_rd=cr
https://www.google.de/search?q=warez&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=r_o3U9H1CMqK8QfopoFQ&gws_rd=cr
https://www.google.de/search?q=boerse&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=qfo3U-_GK8qK8QfopoFQ
http://3dl.tv/
http://www.stern.de/
http://www.bka.de/DE/Home/homepage__node.html?__nnn=true
https://www.google.de/
http://www.boerse.bz/toplist/warez-13/
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&sqi=2&ved=0CDQQFjAB&url=http%3A%2F%2Fwww.boerse.bz%2Ftoplist%2Fwarez-13%2F&ei=Tfo3U7aaOoXAtQbrmoHoBQ&usg=AFQjCNEgOQb9XaLhc9UTGTe5u0oKoThLXg&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ#channel=sb&q=warez&rls=org.mozilla:de:official
https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396177445&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1
https://login.live.com/logout.srf?ct=1396177341&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de
https://bay181.mail.live.com/default.aspx?id=64855&owa=1&owasuffix=owa%2f
https://login.live.com/login.srf?wa=wsignin1.0&ct=1396177140&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
https://www.mozilla.org/de/firefox/28.0/firstrun/

Für detailliertere Verlaufsinformationen greifen wir auf die Tabellen in der places.sqlite-Datei zu. Wir bilden dafür einen INNER JOIN über die beiden Tabellen moz_places und moz_historyvisits. Wir lassen uns neben der URL auch die Spalte der Aufrufhäufigkeit in absteigender Reihenfolge ausgeben, um die nächste Teilaufgabe zu erledigen.

sqlite> select distinct  p.visit_count,p.url from moz_historyvisits as h, moz_places as p where h.place_id = p.id order by visit_count DESC;\n4|https://bay181.mail.live.com/default.aspx?id=64855\n4|http://goldesel.to/\n3|http://outlook.com/\n3|https://www.outlook.com/owa\n2|http://bay181.mail.live.com/handlers/Signout.mvc?service=Live.Mail&mkt=de-de&lc=1031\n2|http://g.live.com/9ep9nmso/so-DE-DE\n2|https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html\n2|http://de.msn.com/?ocid=mailsignout\n2|http://outlook.de/\n2|https://mail.live.com/?id=64855\n2|http://3dl.tv/\n2|http://google.de/\n2|http://www.google.de/\n2|https://www.google.de/\n1|https://www.mozilla.org/de/firefox/28.0/firstrun/\n1|https://login.live.com/login.srf?wa=wsignin1.0&ct=1396177140&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail\n1|https://mail.live.com/?id=64855&owa=1&owasuffix=owa%2f\n1|https://bay181.mail.live.com/default.aspx?id=64855&owa=1&owasuffix=owa%2f\n1|https://login.live.com/logout.srf?ct=1396177341&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de\n1|https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396177445&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1\n1|https://www.google.com/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb\n1|https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ\n1|https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ#channel=sb&q=warez&rls=org.mozilla:de:official\n1|http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&sqi=2&ved=0CDQQFjAB&url=http%3A%2F%2Fwww.boerse.bz%2Ftoplist%2Fwarez-13%2F&ei=Tfo3U7aaOoXAtQbrmoHoBQ&usg=AFQjCNEgOQb9XaLhc9UTGTe5u0oKoThLXg&bvm=bv.63808443,d.Yms\n1|http://www.boerse.bz/toplist/warez-13/\n1|http://bka.de/\n1|http://www.bka.de/DE/Home/homepage__node.html?__nnn=true\n1|http://stern.de/\n1|http://www.stern.de/\n1|https://www.google.com/search?q=boerse&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb\n1|https://www.google.de/search?q=boerse&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=qfo3U-_GK8qK8QfopoFQ\n1|https://www.google.com/search?q=warez&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb\n1|https://www.google.de/search?q=warez&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=r_o3U9H1CMqK8QfopoFQ&gws_rd=cr\n1|https://www.google.com/search?q=porn&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb\n1|https://www.google.de/search?q=porn&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=tPo3U8fZMsqK8QfopoFQ&gws_rd=cr\n1|https://www.google.com/search?q=phantom&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp\n1|https://www.google.de/search?q=phantom&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=ctrl&ei=J_s3U_3jAsGK8QfwloEg&gws_rd=cr\n1|https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457\n1|https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=v+vendetta&rls=org.mozilla:de:official&tbm=isch\n1|https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=cheerleader&rls=org.mozilla:de:official&tbm=isch\n1|https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179732&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1\n1|https://www.google.com/search?q=firefox+saved+passort+editor&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=fflb\n1|https://www.google.de/search?q=firefox+saved+passort+editor&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=5AM4U6_WKMOK8QerxIEg\n1|https://addons.mozilla.org/de/firefox/addon/saved-password-editor/\n1|https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179979&rver=6.4.6456.0&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fbay181.mail.live.com%2Fdefault.aspx%3Fid%3D64855&lc=1031&id=64855&mkt=de-DE&cbcxt=mai\n1|https://login.live.com/logout.srf?ct=1396180070&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de\n1|https://www.google.com/search?q=steganos+hide+seek&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb\n1|https://www.google.de/search?q=steganos+hide+seek&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=3gQ4U46NIsiK8QfLuYEo\n1|http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.pc-magazin.de%2Ftestbericht%2Fsicherheitsprogramme-hide-and-seek-90063.html&ei=3gQ4U8XiM4XLtQblmYCoCw&usg=AFQjCNE3AANamxm8wrAfT738ORhzlUI1xA&bvm=bv.63808443,d.Yms\n1|http://www.pc-magazin.de/testbericht/sicherheitsprogramme-hide-and-seek-90063.html\n1|http://www.steganos.de/\n1|https://www.steganos.com/de/\n1|https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/features/\n1|https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/download/\n1|https://www.steganos.com/scripts/thankyou/?utm_campaign=sss15&utm_medium=trial&utm_source=steganos&g=3e8f62eb-ee32-4207-a885-bc4da661037c&p=sss15&l=en&v=15.2.1\n1|https://login.live.com/login.srf?wa=wsignin1.0&ct=1396257104&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail\n1|https://www.google.com/search?q=truecrypt&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp\n1|https://www.google.de/search?q=truecrypt&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=cr&ei=0DQ5U8OsM8mK8QfxjIBg\n1|http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.truecrypt.org%2F&ei=0TQ5U_DpCsrLsgaTo4CACA&usg=AFQjCNH8UXHuTTPFsxxhk9LfQtfx7CG5Pg&bvm=bv.63808443,d.Yms\n1|http://www.truecrypt.org/\n1|http://www.truecrypt.org/downloads\n1|https://login.live.com/login.srf?wa=wsignin1.0&ct=1396258049&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail\n0|http://www.google.de/imgres?imgurl=http%3A%2F%2Fimage.karneval-megastore.de%2Fbig%2F114915_phantom_big.jpg&imgrefurl=http%3A%2F%2Fwww.karneval-megastore.de%2Fhtml%2Fproduct_info.php%3Fproducts_id%3D18164&h=300&w=275&tbnid=JlWSbpToLvoPKM%3A&zoom=1&docid=xPSS4iC5LYlaJM&ei=Mfs3U9ybHJDMsgbw1IHIDQ&tbm=isch&iact=rc&dur=655&page=12&start=109&ndsp=11&ved=0CCQQrQMwCjhk\n0|https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcRhyWHcxF5G_4NtHB8GPS3dC2NIEYwmMWVzVWZ8t0rAoXMAbRUPow\n0|https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTuNPgl_f4uOpcRjYd1WdaAYIq4fpZr2IFRE-EO6dUWuppnbwocow\n0|https://file.steganos.com/software/downloader/steganos/sss15intdle.exe\n0|http://www.truecrypt.org/download/transient/5b5a677a9e150db8de7b/TrueCrypt%20Setup%207.1a.exe

Offensichtlich werden somit mehr History-Einträge aufgeführt, als der Browser selbst anzeigt. Dies ist dem Umstand geschuldet, dass der Browser keine Einträge aufführt, die den Wert 1 im hidden-Feld eingetragen haben. Eine ergänzende Liste von aufgerufenen Seiten erhalten wir aus den Cookie-Einträge in der Datenbank.

sqlite> select DISTINCT baseDomain from moz_cookies;\n360yield.com\n3dl.tv
abmr.net
ad-srv.net
ad6media.fr
adaos-ads.net
adform.net
adition.com
admized.com
adnet.de
adnxs.com
adscale.de
adspirit.de
adwelt.com
atdmt.com
bing.com
bluekai.com
boerse.bz
creative-serving.com
criteo.com
crwdcntrl.net
demdex.net
doubleclick.net
ebay.com
flashtalking.com
gbseite.de
gmads.net
goldesel.to
google.com
google.de
hurra.com
intellitxt.com
ioam.de
ivwbox.de
krxd.net
levexis.com
live.com
mathtag.com
meetic-partners.com
metaffiliation.com
metrigo.com
microsoft.com
mozilla.org
msn.com
mydirtyhobby.com
myspace.com
nuggad.net
o2online.de
openx.net
outbrain.com
pc-magazin.de
popads.net
privatamateure.com
pubmatic.com
qservz.com
revsci.net
scorecardresearch.com
sensic.net
serving-sys.com
stargames.com
steganos.com
stern.de
t4ft.de
truecrypt.org
turn.com
twitter.com
vindicosuite.com
vtracy.de
w55c.net
yahoo.com
yieldlab.net
your-pics.net

Auch hier zeigen sich deutlich mehr Einträge. Die einfach zugänglichen Informationen im Firefox Browser selbst sind somit eine unvollständige Quelle. Erst die Auswertung über die Datenbank hat uns alle Informationen geliefert.

Welche Websites wurden am häufigsten besucht?

Diese Fragestellung wurde oben bereits implizit beantwortet. Die am Häufigsten aufgerufene Seiten sind https://bay181.mail.live.com/default.aspx?id=64855 und http://goldesel.to/.

Welche URLs wurden in der Adressleiste eingegeben?

Wir betrachten zunächst die Ausgabe der Adressleiste. Im folgenden Schritt beziehen wir diese Informationen aus der Datenbank und gleichen sie miteinander ab.

Wir erhalten die gleichen Informationen, wenn wir die entsprechende SQL-Anfrage an die main.db stellen. Der Parameter typed=1 definiert, dass die Einträge in der Adressleiste eingegeben wurden.

sqlite> select url from moz_places as p where typed=1;
http://outlook.com/
http://outlook.de/
http://goldesel.to/
http://3dl.tv/
http://google.de/
http://bka.de/
http://stern.de/

Für welche Webseits wurden vom Benutzer Lesezeichen gesetzt?

In der Bibliothek des Firefox werden uns direkt einige Einträge unter dem Lesezeichenordner Meistbesucht angezeigt.

Meistbesucht (31.03.2014)
	file:///usr/share/kali-defaults/web/homepage.html
	http://goldesel.to/
	https://bay181.mail.live.com/default.aspx?id=64855
	http://de.msn.com/?ocid=mailsignout
	https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html
	http://3dl.tv/
	https://www.google.de/
	https://login.live.com/
	https://login.live.com/login.srf?wa=wsignin1.0&ct=1396258049&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
	http://www.truecrypt.org/downloads
Bookmarks Menu (31.03.2014)
	http://goldesel.to/
Bookmarks Toolbar (31.03.2014)
	https://www.mozilla.org/de/firefox/central/

Ein Blick in die Backups zeigt, dass es eine ältere Sicherungskopie gibt. Wenn wir diese exportieren, werden alle aktuellen Bookmarks durch das Backup vollständig entfernt und ersetzt.

Neu hinzugekommen bzw. wiederhergestellt wurde der Lesezeichenordner Mozilla Firefox. Die restlichen Lesezeichen sind identisch.

Mozilla Firefox (30.03.2014)
	https://www.mozilla.org/de/firefox/help/
	https://www.mozilla.org/de/firefox/customize/
	https://www.mozilla.org/de/contribute/
	https://www.mozilla.org/de/about/

Wir könnten diese Lesezeichen ganz komfortabel kopieren und einfügen. Es ist jedoch Vorsicht an dieser Stelle geboten, da es sich bei den Einträgen unter Meistbesucht um keine Lesezeichen im eigentlichen Sinne handelt. Es sind nur Verweise auf Einträge in der History. Eine sehr präzise Ausgabe der tatsächlichen Lesezeichen erhalten wir über die places.sqlite-Datenbank.

sqlite> select p.url from moz_places as p, moz_bookmarks as b where b.fk=p.id;
https://www.mozilla.org/de/firefox/central/
place:sort=8&maxResults=10
place:folder=BOOKMARKS_MENU&folder=UNFILED_BOOKMARKS&folder=TOOLBAR&queryType=1&sort=12&maxResults=10&excludeQueries=1
place:type=6&sort=14&maxResults=10
http://goldesel.to/

Es gibt daher nur die zwei Lesezeichen mozilla.org und goldesel.to.

Welche Website wurde zuletzt besucht?

Wir holen uns diese Information zunächst aus der Bibliothek des Browsers. Wir sortieren dafür absteigend nach dem Most Recent Visit-Feld.

Wollen wir die Information wieder aus der Datenbank beziehen, führen wir den folgenden Befehl aus. Die Tabellen müssen an den Feldern h.place_id und p.id verbunden werden, da die Informationen in der Tabelle moz_historyvisits keine Informationen über die URLs enthalten.

sqlite> select distinct  h.visit_date,p.url from moz_historyvisits as h, moz_places as p where h.place_id = p.id order by visit_date desc;\n1396279643062000|https://login.live.com/login.srf?wa=wsignin1.0&ct=1396258049&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail

Die Zahl ist ein dezimaler Unix-Zeitstempel. Wir lassen uns diesen auf epochconverter.com (Link) in einen lesbaren Datumswert konvertieren.

1396279643062000:
GMT: Mon, 31 Mar 2014 15:27:23 GMT
Your time zone: Mo 31 Mär 2014 17:27:23 CEST GMT+2:00 DST

Die Ausgabe enthält im Gegensatz zum Browser einen Sekundenwert und ist dadurch noch präziser. An dieser Stelle ist spätestens zu sehen, dass für forensische Untersuchungen primär die Datenbank als Informationsquelle genutzt werden sollte.

Wurden Zugangsdaten im Browser gespeichert?

Wir können die Zugangsdaten komfortabel im Firefox ablesen. Dadurch vermeiden wir den Einsatz von Werkzeugen bzw. Skripten von Drittanbietern.

Da wir die Zugangsdaten an späterer Stelle nochmals benötigen, halten wir sie nun tabellarisch als Text fest.

URL	Login	Passwort
https://login.live.com/	fbi_forensik@outlook.de	_1a[M6Qa

Skype

Wo müssen wir nach Dateien suchen?

On a Windows PC, most of these artifacts can be found in the main.db file located at ROOT\Users\%userprofile%\AppData\Roaming\Skype\%SkypeName%\main.db or ROOT\Documents and Settings\%userprofile%\Application Data\Skype\%SkypeName%\ for Windows XP installations.http://www.magnetforensics.com/wp-content/uploads/2014/04/Skype-Forensics-Analyzing-Call-and-Chat-Data-From-Computers-and-Mobile-Magnet-Forensics.pdf

Skype speichert seine Daten in der Datenbank main.db ab. Wir werten für die folgenden Aufgaben ausschließlich diese Datei aus.

Welcher Account wird vom Anwender genutzt?

sqlite> select id, liveid_membername, skypename, fullname,emails from accounts;\n1|dasec@outlook.de|live:dasec_1|dasec hda|dasec@outlook.de

Es gibt nur einen eingerichteten Benutzer, dessen Benutzername lautet dasec_1.

Welche Kontakte sind gespeichert?

sqlite> select skypename, fullname,lastonline_timestamp from contacts;
echo123|Echo / Sound Test Service|
brion.weg|Franz Müller|1396200382
live:dasec_1|dasec hda|

Der Benutzer hat einen externen Kontakt namens Franz Müller mit dem Benutzernamen brion.weg. Der Benutzer echo123 ist ein Service Account von Skype und dient als Kontakt für Testanrufe. Lediglich der Kontakt brion.weg besitzt einen auswertbaren Zeitstempel in der Datenbank bezüglich der letzten Aktivität.

Sind Profilbilder gespeichert?

sqlite> select skypename,hex(avatar_image),hex(profile_attachments) from Contacts;
echo123|FFD8FFE000104A46494600010101006000600000FFE1005A4578696600004D4D002A00000008000401310002000000140000003E511000010000000101000000511100040000000100000B12511200040000000100000B120000000041646F62652046697265776F726B732043533600FFDB0043000201010201010202020202020202030503030303030604040305070607070706070708090B0908080A0807070A0D0A0A0B0C0C0C0C07090E0F0D0C0E0B0C0C0CFFDB004301020202030303060303060C0807080C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0C0CFFC000110800A000A003012200021101031101FFC4001F0000010501010101010100000000000000000102030405060708090A0BFFC400B5100002010303020403050504040000017D01020300041105122131410613516107227114328191A1082342B1C11552D1F02433627282090A161718191A25262728292A3435363738393A434445464748494A535455565758595A636465666768696A737475767778797A838485868788898A92939495969798999AA2A3A4A5A6A7A8A9AAB2B3B4B5B6B7B8B9BAC2C3C4C5C6C7C8C9CAD2D3D4D5D6D7D8D9DAE1E2E3E4E5E6E7E8E9EAF1F2F3F4F5F6F7F8F9FAFFC4001F0100030101010101010101010000000000000102030405060708090A0BFFC400B51100020102040403040705040400010277000102031104052131061241510761711322328108144291A1B1C109233352F0156272D10A162434E125F11718191A262728292A35363738393A434445464748494A535455565758595A636465666768696A737475767778797A82838485868788898A92939495969798999AA2A3A4A5A6A7A8A9AAB2B3B4B5B6B7B8B9BAC2C3C4C5C6C7C8C9CAD2D3D4D5D6D7D8D9DAE2E3E4E5E6E7E8E9EAF2F3F4F5F6F7F8F9FAFFDA000C03010002110311003F00FD3CA28A2BEF0FC6C28A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A28A0028A9AC6C66D4EF23B7B78DE69A660888832CC4F615ECDF0EFF670B7B28A3BAD7BFD26E0E185AA37EEE3FF00788FBC7D871F5AE7C462A9D0579BF9753BF0396D7C5CB9692D3AB7B23C7F47F0EDFF008866F2EC6CEEAF187511465B6FD71D3F1AE96D3E0278AAEE3DDFD9A2307A7993C6A4FE1BB3F9D7D1565630E9B6CB0DBC31DBC318C2A46A1557E8053E59D201991D5074CB1C578B533AA8DFB915F3D4FAAA3C2B452FDF4DB7E564BF53E72BBF80BE2AB48F77F66F983BF973C6C47E1BB3F95735ABF87EFBC3F37977D677368C7A096329BBE99EB5F5945324EBBA36575CE32A7351DF5841AA5AB43730C5710C9C347220656FA83453CEAA27EFC57CB40ADC2B45AFDCCDA7E767FE47C8B457B57C45FD9C2DEF2292EB40FF0047B81F31B476FDDC9FEE93F74FB1E3E95E357B65369B7725BDC47243342C55D1D76B291D88AF6B0F8AA75D5E0FE5D4F94C765B5F092E5AAB4E8FA322A28A2BA0E10A28A2800A28A2800A28A2800A28A2800A5552EC15412C4E001DE92BBEFD9E7C18BE25F191BC99375B69604B83D1A43F707E1827FE022B2AD555383A92E8746130F2C4568D18EED9E91F057E14C7E07D296F2EE30DAB5D202F91FF001EEA7F807BFA9FC3B73D278C7C6BA7F81B496BBD426D8BD1235E6498FA28EFFC877ABDAAEA70E8BA6DC5E5C3F9705B466491BD001935F3178FFC7175E3EF114B7D704AC7F7608B3C429D87D7B93DCD7CE61B0F3C655752A3D3AFF923EEF1F8CA595E1E34682F7BA7EAD9D0F8D3F681D6BC4B2B476727F65DA740B09FDE30F77EBFF7CE2B87BABC9AFA6324D2C9348DD59D8B31FC4D47457D1D2A34E9AB4158F84C462EB5797355937FD7624B5BC9AC6612432C90C8BD1918AB0FC45771E0BFDA075AF0D4AB1DE49FDA969D0ACC7F78A3D9FAFF00DF59AE0E8A2AD1A7515A6AE187C5D6A12E6A526BFAEC7D55E0EF1AE9FE39D256EF4F9B7AF478DB89213E8C3B7F23DAB99F8D5F09A3F1B696F7D67185D5AD972368FF008F951FC07DFD0FE1F4F16F0078E2EBC03E2286FADC968F3B678B3C4C9DC7D7B83D8D7D3BA56A70EB5A6DBDE5BBF9905CC6248DBD411915F3989A13C1D55529BD3A7F933EEF018CA59A61E546BAF796FF00A347C8EC0A9C1E08E083DA8AEFBF685F05AF867C65F6C8576DAEAA0CA001C2C83EF8FC720FFC08D7035F4746AAA90538F53E131787961EB4A8CF74FF00AFBC28A28AD4E70A28A2800A28A2800A28A2800AFA03F66DD1D74FF8762E76FCF7F70F213ECA7601F9A9FCEBE7FAFA5BE0971F0B748FFAE6FF00FA31ABC9CE24D504BBBFF33E9385E09E2DB7D22FF348C1FDA6BC40DA6F832DEC51B6B6A33FCFEE89F311FF007D15AF07AFABBC43E0FD33C5661FED1B386F3ECFBBCBF333F26719C7D703F2AF33F8D1F0434FD33409B56D1E236AD6BF34F0062C8EB9E5867A11D71D31FAF3E5B8DA508AA2F76F7E973BF3FCA71156A4B15169A4B6EB65BFEACF1DA28A2BDE3E3028A28A002BDE3F665F10B6A5E0DB8B176DCDA74FF2FB23F23FF1E0F593F063E08586A7A043AB6B119B96BA1BA080B15545CF0C71D49EB8E98FD3D33C3DE0ED33C28663A759C367F68C799E5E7E7C6719FA64FE75E0E658DA538BA2B74F7E973ECF20CA7114A71C549A516B6EB67B7E8CE47F692D1D750F8766E76FCF613A480FB31D847E6C3F2AF9FEBE96F8DBCFC2DD5FFEB9A7FE8C5AF9A6BA32793741A7D1FF0091C1C514D4716A4BAC57E6D0514515EB1F3614514500145145001451450015F457ECF9A88BEF85F6499CB5AC9244DFF7D961FA30AF9D6BD6FF0065CF132C575A86912363CE02E611EE3E57FD36FE46BCDCD69B9E1DB5D353DEE1BAEA9E3527F6935FAFE87B2D55D6B4F5D5F47BBB561B96EA178883DC3023FAD5AA86FEF174FB19AE1FEE411B48D93D80C9AF978DEFA1FA24ACE2D4B63E45A28A2BEE8FC7428A28A00FADB45D3D748D1ED2D546D5B5852200760A00FE956AA1B0BC5D42C61B84FB93C6B22E0F62322A6AF8495EFA9FB146DCAB976389FDA17535D3FE185DC79DAD792470AFB9DC18FE8A6BE75AF5DFDA9F5DDD71A5E98ADF755AE641F5F957F93FE75E455F5394D3E5C3A7DDDFF4FD0FCEF892B7B4C6B8AFB292FD7F50A28A2BD23C10A28A2800A28A2800A28A2800AD0F0B78866F0A7882D350B7FF00596B20703FBC3A107EA091F8D67D14A514D599509B8C94A3BA3EA8D07E2068FE23D363BAB7D42D76C80128F2AABC67D1813906B91F8D7F15B4DB1F08DDE9F65790DD5F5F2180AC2E1C4687862C4703E5C8C75E6BC168AF2A9E514E3539EEDA5D0FA4AFC4D5AA5174D4526D59BFF241451457AC7CC851451401EF5F04FE2B69B77E10B4D3EFAF61B5BEB15F2409DC209107DD2A4F1C2E063AF15E891C8B346ACACACAC32AC0E411EA2BE4AD1B4C7D6B57B5B38FFD65D4C90AF1D0B103FAD7D51A9DE43E14F0CCF3EDDB069D6CCC17FD945E07E98AF99CCB0B1A751386F2E87E839066352BD16AAAD2092BF7FF008648F9E3E35EBBFDBDF12B5270D98EDDFECC9EDB383FF8F6E3F8D72B4FB89DAEA779246DD248C5989EE4F26995F454A9A841417447C2622B3AB56555F56DFDE1451456862145145001451450014514500145145001451450069783FC39278BBC4F65A6C6DB1AEA40A5B1F757AB1FC0026BE9AF0B782F4DF06D8AC1A7DAC70ED1869319924F766EA6BE6FF871E278FC1DE36D3F529959A1B773E605196DACA54E3F035EF93FC68F0C4160B70756B7656190AA19A4FF00BE40C8FC457879B46B4A518C136BCBB9F61C332C2C29CE751A53BF5B6D6E97F3B8DF891F0AB4FF001E6953620861D4B69305C01B4EEEC1C8192A4F5E0E3B73589A0FECD1A169D86BC92EF507EE19FCA8CFE0BCFF00E3D5435EFDA8EC6DF2BA6E9D7174DD37CEC225FC8649FD2B89D7BF681F126B5B963B98AC236FE1B68F69FF00BE8E5BF222B1C3E1B1BC9C89F2AF5FE99D38CCC329553DACA3CF2F25A7E364FF0013DCACF41D0BC0F6DE6C56FA6E9B1AF59582C7F9B1E7F335E7FF001BFE316977FE179F49D2EE45E4F7442CB247FEAE340413F37424E31C71826BC7B50D4EE7569FCDBAB89EE643D5E590BB1FC4D415D9432B519AA9524E4D1E562F88A53A4E8D0828C5E9FD6C90514515EB1F36145145001451450014514500145145001451450014514500145145001451450014514500145145001451450014514500145145001451450014514500145145001451450014514500145145001451450014514500145145007FFFD9|
brion.weg||
live:dasec_1|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|

Die Ausgabe zeigt uns, dass tatsächlich zwei Bilder für Profile in der Datenbank vorhanden sind. Wir kopieren die hexadezimalen Ausgabewerte in den folgenden echo-Befehl hinein und schreiben diese Information mittels xxd in neue Dateien hinein, um die Avatare zu erzeugen.

echo !!Platzhalter!! | xxd -r -p > bild1.jpg
echo !!Platzhalter!! | xxd -r -p > bild2.jpg

Werfen wir danach einen Blick auf das Dateisystem, finden wir nun die folgenden Bilder vor.

Avatar von echo123

Avatar von dasec_1

Es ist uns gelungen alle gespeicherten Avatare aus der Datenbank erfolgreich zu rekonstruieren.

Wann waren diese Konakte zuletzt online?

Bei dem zuvor erhobenen Datumswert handelt es sich erneut um einen Unix-Zeitstempel. Wir konvertieren ihn wie zuvor über epochconverter.com.

1396200382:
GMT: Sun, 30 Mar 2014 17:26:22 GMT
Your time zone: 30.3.2014, 19:26:22 GMT+2:00 DST

Der Kontakt brion.weg war somit zuletzt am 30.03.2014 um 19:16:22 Uhr online.

Wurden Anrufe getätigt? Wenn ja, mit wem und wie lange?

sqlite> select id, duration, current_video_audience from calls;\n38|24|brion.weg 

Ja es wurde ein Anruf mit brion.weg getätigt. Die Anrufdauer ist in Sekunden gespeichert und beträgt somit 24 Sekunden. Die Dauer des Anrufs wird ebenfalls im Chatverlauf abgelegt, wie in der nächsten Teilaufgabe zu sehen ist.

Wurde der Chat verwendet? Welche Informationen können Sie hieraus ermitteln?

sqlite> select convo_id, author, body_xml from messages;\n24|brion.weg|Hallo dasec hda, ich möchte Sie als Kontakt aufnehmen. Franz Müller\n24|live:dasec_1|\n24|live:dasec_1|Hallo Franzel. Hast du was fuer mich?\n24|brion.weg|Was möchtest Du denn  haben?\n24|live:dasec_1|Das uebliche\n24|brion.weg|Das besprechen wir lieber per Sprachchat\n24|live:dasec_1|ok\n24|live:dasec_1|<partlist alt="">
  <part identity="live:dasec_1">
    <name>dasec hda</name>
    <duration>24</duration>
  </part>
  <part identity="brion.weg">
    <name>Franz Müller</name>
    <duration>24</duration>
  </part>
</partlist>\n24|live:dasec_1|<partlist alt="">
  <part identity="live:dasec_1">
    <name>dasec hda</name>
    <duration>24</duration>
  </part>
  <part identity="brion.weg">
    <name>Franz Müller</name>
    <duration>24</duration>
  </part>
</partlist>\n24|brion.weg|Alles abgemacht. ich sende Dir das Paket auf deine emailadresse. Wie immer versteckt. Ein Gruß von Steganos Hide\n24|live:dasec_1|Danke Dir Bye

Der vorhandene Chat zeigt auf, dass in dem zuvor sichergestellten E-Mail-Postfach vermutlich weitere relevante Informationen zu finden sind.

Freie Suche

Suchen Sie nach versteckten Informationen. Folgen Sie auch Spuren, die das Image verlassen.

Zugriff auf das E-Mail-Postfach

Wir rufen die Seite der gespeicherten Zugangsdaten auf und loggen uns ein. Wir untersuchen die E-Mails anhand der Absender und der Inhalte, ob sie das angesprochene Paket aus dem Chatverlauf enthalten.

An dieser Stelle finden wir eine Bilddatei, die uns zunächst keine verwertbaren Informationen liefert. Im Posteingang sind jedoch weitere E-Mails bezüglich einer Software von Steganos zu finden, die es erlaubt Informationen verschlüsselt in Bilder einzubetten. Ein Zugriff auf diese Informationen ist nur mithilfe eines Passworts möglich. Wir suchen also im nächsten Schritt das geheime Passwort für die Ent- bzw. Verschlüsselung. Zum Einsatz kommt dabei fls mit dem wir das Abbild der Partition nach einer Datei mit einem passenden Namen durchsuchen.

$ fls -f ntfs -r partition_1.dd | grep Steg
++++ d/d 13015-144-6:	Steganos Privacy Suite 15
+++++ r/r 13016-128-4:	Steganos Privacy Suite 15 Help.lnk
+++++ r/r 13017-128-4:	Uninstall Steganos Privacy Suite 15.lnk
+++ d/d 12919-144-5:	Steganos
++ d/d 12979-144-1:	Steganos
+ d/d 12955-144-7:	Steganos Privacy Suite 15
++ r/r 13070-128-4:	SteganosUpdater.exe
++ r/r 13009-128-4:	SteganosUpdater.res
++ r/r 13601-128-4:	SteganosBrowserMonitor.exe
++ r/r 3832-128-4:	SteganosHotKeyService.exe
++ r/r 12962-128-4:	SteganosUI.res
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos

Wir finden einen Alternativen Datenstrom (ADS) an der Datei Edoofy.jpeg, den wir uns genauer ansehen.

$ icat partition_1.dd 7821-128-5
"W)5S_DXitLN"

Das Passwort nutzen wir zusammen mit der installierten Steganos Software, die wir über die Laufzeitumgebung Wine starten. In der folgenden Abbildung sind die gefundenen Dateien abgebildet.

Wir haben somit drei Bilder und eine Textdatei in dem Steganos-Safe gefunden.

Gefundenes TrueCrypt-Passwort

Im dritten Praktikum hatten wir ein TrueCrypt-Passwort in einem nicht-allozierten Bereich gefunden.

$ strings unallocated_2.dd 
Truecrypt Passwort: 7kE5v-<Y_qYF:7Y

Wir suchen nun nach dem passendem Container mittels find. Zunächst suchen wir nach Dateien, welche die Zeichenkette „true“ in ihrem Dateinamen verwenden.

$ find -iname *true*
./Documents and Settings/All Users/Desktop/TrueCrypt.lnk
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/TrueCrypt Website.url
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/TrueCrypt.lnk
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/Uninstall TrueCrypt.lnk
./Documents and Settings/Owner/Favorites/Downloads/Programs/TrueCrypt - Free Open-Source Disk Encryption.url
./Documents and Settings/Owner/Local Settings/My Documents/Downloads/TrueCrypt Setup 7.1a.exe
./Documents and Settings/Owner/Local Settings/My Documents/truecrypt-container
./Program Files/TrueCrypt
./Program Files/TrueCrypt/TrueCrypt Format.exe
./Program Files/TrueCrypt/TrueCrypt Setup.exe
./Program Files/TrueCrypt/TrueCrypt User Guide.pdf
./Program Files/TrueCrypt/truecrypt-x64.sys
./Program Files/TrueCrypt/TrueCrypt.exe
./Program Files/TrueCrypt/truecrypt.sys
./WINDOWS/system32/drivers/truecrypt.sys

Wir haben den gesuchten Container bereits mit diesem Verfahren gefunden. Ein ebenfalls praktikabler Ansatz ist eine Suche über die Dateigröße. Wir suchen nun nach allen Dateien, die größer als 20 Megabyte sind.

$ find  -size +20M
./Documents and Settings/All Users/Application Data/Skype/{7A3C7E05-EE37-47D6-99E1-2EB05A3DA3F7}/Skype.msi
./Documents and Settings/Owner/Local Settings/My Documents/Downloads/sss15int.exe
./Documents and Settings/Owner/Local Settings/My Documents/truecrypt-container
./Documents and Settings/Owner/Local Settings/Temp/Skype.msi
./pagefile.sys
./Program Files/Mozilla Firefox/xul.dll
./WINDOWS/Driver Cache/i386/driver.cab
./WINDOWS/SoftwareDistribution/Download/0de4390649d19bd073825763d839441a37dda551
./WINDOWS/Installer/4442e.msp
./WINDOWS/Installer/MSIEE.tmp

Wir mounten die Datei truecrypt-container in TrueCrypt und entschlüsseln diese mit dem gefundenen Passwort. In der folgenden Abbildung sind die gefundenen Dateien abgebildet.

Wir haben somit drei Bilder und ein Video in dem TrueCrypt-Container gefunden.