<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Computer Forensik Archive - Maximilian Krieg</title>
	<atom:link href="https://maximiliankrieg.de/category/studium/master-of-science/1-semester-m-sc/computer-forensik/feed/" rel="self" type="application/rss+xml" />
	<link>https://maximiliankrieg.de/category/studium/master-of-science/1-semester-m-sc/computer-forensik/</link>
	<description>Wissen, Technik &#38; Erfahrungen</description>
	<lastBuildDate>Mon, 08 Jun 2026 18:00:43 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://maximiliankrieg.de/wp-content/uploads/2026/05/cropped-20260524_logo_2_512-2-32x32.png</url>
	<title>Computer Forensik Archive - Maximilian Krieg</title>
	<link>https://maximiliankrieg.de/category/studium/master-of-science/1-semester-m-sc/computer-forensik/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Computer Forensik (Abschlussbericht)</title>
		<link>https://maximiliankrieg.de/2015/08/computer-forensik-abschlussbericht/</link>
					<comments>https://maximiliankrieg.de/2015/08/computer-forensik-abschlussbericht/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Fri, 14 Aug 2015 06:10:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=1555</guid>

					<description><![CDATA[<p>Nachdem ich die letzten vier Abschlussberichte erledigt habe, folgt nun das Fazit zum letzten Modul meines ersten Master-Semesters. Im Gegensatz zu&#160;Diskrete Strukturen&#160;und&#160;Biometric Systems&#160;sind hier meine&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/08/computer-forensik-abschlussbericht/">Computer Forensik (Abschlussbericht)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Nachdem ich die letzten vier Abschlussberichte erledigt habe, folgt nun das Fazit zum letzten Modul meines ersten Master-Semesters. Im Gegensatz zu&nbsp;<em>Diskrete Strukturen</em>&nbsp;und&nbsp;<em>Biometric Systems</em>&nbsp;sind hier meine Notizen bereits vollständig hochgeladen und abgesehen von den Praktikumsaufgaben öffentlich verfügbar.</p>



<h3 class="wp-block-heading">Prüfungsvorleistung</h3>



<p class="wp-block-paragraph">Die Prüfungsvorleistung in&nbsp;<em>Computer Forensik</em>&nbsp;besteht aus fünf aufeinander aufbauenden Praktikumsterminen. Man beginnt mit einem Festplatten-Image, das aus mehreren Partitionen mit unterschiedlichen Dateisystemen besteht. In diesem Rahmen wird die Partitionierung analysiert, gelöschte Dateien rekonstruiert, versteckte Dateien gesucht und die Benutzung seitens Anwender untersucht. Zum Abschluss werden alle Erkenntnisse in einem finalen Abschlussbericht zusammengetragen. Der Aufwand und Schwierigkeitsgrad der Praktika ist im regulären Rahmen. Die Betreuer des Praktikums sind dahingehend sehr gut vorbereitet und können hilfreiche Ratschläge geben.</p>



<h3 class="wp-block-heading">Prüfung</h3>



<p class="wp-block-paragraph">Die Klausur schneidet alle Inhalte der Vorlesung an. In das Themengebiet der Hash-Funktionen müssen sich die Studenten in Eigeninitiative einarbeiten, was notwendig ist, da mehrere Aufgaben zu Hashes in der Klausur zu finden sind. Das Umrechnen von binären, dezimalen und hexadezimalen Werten sollte auch verinnerlicht sein, da Hexdumps ausgewertet werden müssen. Benötigt man hier zuviel Zeit, wird es mit der restlichen Klausur eng. Die Klausur ist in meinen Augen sehr umfangreich, mit einem moderaten Schwierigkeitsgrad. Die Aufgaben waren in erster Linie anwendungsbezogen und konnten daher auch keine komplexen Fragestellungen beinhalten, immerhin wird die Zeit für Rechnungen, Konvertierungen und Interpretationen benötigt.</p>



<h3 class="wp-block-heading">Gesamtfazit</h3>



<p class="wp-block-paragraph"><em>Computer Forensik</em>&nbsp;hat mir dieses Semester den meisten Spaß bereitet. Ich blicke mit Freude auf ein kniffliges, spannendes Praktikum, informative Vorlesungen sowie eine faire Klausur zurück.&nbsp;<em>Computer Forensik</em>&nbsp;bei Professor Baier ist in meinen Augen sehr empfehlenswert.</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/08/computer-forensik-abschlussbericht/">Computer Forensik (Abschlussbericht)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/08/computer-forensik-abschlussbericht/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Praktikum 4)</title>
		<link>https://maximiliankrieg.de/2015/07/computer-forensik-praktikum-4/</link>
					<comments>https://maximiliankrieg.de/2015/07/computer-forensik-praktikum-4/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Sat, 11 Jul 2015 17:50:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2859</guid>

					<description><![CDATA[<p>Im vierten Praktikum üben wir uns an der Analyse von NTFS-Dateisystemen und der Untersuchung der Windows-Registry. Skript-Anfang Praktikum 4 &#8211; Seite 1 Skript-Ende Praktikum 4&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/07/computer-forensik-praktikum-4/">Computer Forensik (Praktikum 4)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Im vierten Praktikum üben wir uns an der Analyse von NTFS-Dateisystemen und der Untersuchung der Windows-Registry.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Praktikum 4 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Praktikum 4 &#8211; Seite 1</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">NTFS-Analyse</h3>



<p class="wp-block-paragraph">Sie untersuchen hierfür das in Praktikum 2 erstellte Image partition_1.dd. Bestätigen Sie zunächst die Unverändertheit der Partition.</p>



<p class="wp-block-paragraph">Wir bestimmen die Unverändertheit der Partition, indem wir die Hashsumme berechnen und mit unseren Notizen abgleichen.</p>



<pre class="wp-block-code"><code>$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd</code></pre>



<p class="wp-block-paragraph">Die Hashsummen stimmen überein. An partition_1.dd ist somit keine Veränderung vorgenommen worden.</p>



<p class="wp-block-paragraph">Schreiben Sie anschließend den ersten Block der Partition nach partition_1_boot.dd und vermerken Sie dessen Hashwert.</p>



<pre class="wp-block-code"><code>$ dd if=partition_1.dd of=partition_1_boot.dd bs=512 count=1
1+0 Datensätze ein
1+0 Datensätze aus
512 Bytes (512 B) kopiert, 4,2755e-05 s, 12,0 MB/s

$ sha256sum partition_1_boot.dd 
3465621fa66dfbebd42a10e53473eeee45ed10916de4980dc4799c2b08c043f6  partition_1_boot.dd</code></pre>



<p class="wp-block-paragraph">Da wir in den folgenden Aufgaben den Hexdump benötigen, geben wir ihn an dieser Stelle gleich vollständig aus.</p>



<pre class="wp-block-code"><code>$ xxd partition_1_boot.dd 
0000000: eb52 904e 5446 5320 2020 2000 0208 0000  .R.NTFS    .....
0000010: 0000 0000 00f8 0000 3f00 ff00 0008 0000  ........?.......
0000020: 0000 0000 8000 8000 ff17 9c00 0000 0000  ................
0000030: 0000 0400 0000 0000 0200 0000 0000 0000  ................
0000040: f600 0000 0100 0000 4e70 500e 9b50 0e5c  ........NpP..P.\
0000050: 0000 0000 fa33 c08e d0bc 007c fbb8 c007  .....3.....|....
0000060: 8ed8 e816 00b8 000d 8ec0 33db c606 0e00  ..........3.....
0000070: 10e8 5300 6800 0d68 6a02 cb8a 1624 00b4  ..S.h..hj....$..
0000080: 08cd 1373 05b9 ffff 8af1 660f b6c6 4066  ...s......f...@f
0000090: 0fb6 d180 e23f f7e2 86cd c0ed 0641 660f  .....?.......Af.
00000a0: b7c9 66f7 e166 a320 00c3 b441 bbaa 558a  ..f..f. ...A..U.
00000b0: 1624 00cd 1372 0f81 fb55 aa75 09f6 c101  .$...r...U.u....
00000c0: 7404 fe06 1400 c366 601e 0666 a110 0066  t......f`..f...f
00000d0: 0306 1c00 663b 0620 000f 823a 001e 666a  ....f;. ...:..fj
00000e0: 0066 5006 5366 6810 0001 0080 3e14 0000  .fP.Sfh.....&gt;...
00000f0: 0f85 0c00 e8b3 ff80 3e14 0000 0f84 6100  ........&gt;.....a.
0000100: b442 8a16 2400 161f 8bf4 cd13 6658 5b07  .B..$.......fX&#91;.
0000110: 6658 6658 1feb 2d66 33d2 660f b70e 1800  fXfX..-f3.f.....
0000120: 66f7 f1fe c28a ca66 8bd0 66c1 ea10 f736  f......f..f....6
0000130: 1a00 86d6 8a16 2400 8ae8 c0e4 060a ccb8  ......$.........
0000140: 0102 cd13 0f82 1900 8cc0 0520 008e c066  ........... ...f
0000150: ff06 1000 ff0e 0e00 0f85 6fff 071f 6661  ..........o...fa
0000160: c3a0 f801 e809 00a0 fb01 e803 00fb ebfe  ................
0000170: b401 8bf0 ac3c 0074 09b4 0ebb 0700 cd10  .....&lt;.t........
0000180: ebf2 c30d 0a41 2064 6973 6b20 7265 6164  .....A disk read
0000190: 2065 7272 6f72 206f 6363 7572 7265 6400   error occurred.
00001a0: 0d0a 4e54 4c44 5220 6973 206d 6973 7369  ..NTLDR is missi
00001b0: 6e67 000d 0a4e 544c 4452 2069 7320 636f  ng...NTLDR is co
00001c0: 6d70 7265 7373 6564 000d 0a50 7265 7373  mpressed...Press
00001d0: 2043 7472 6c2b 416c 742b 4465 6c20 746f   Ctrl+Alt+Del to
00001e0: 2072 6573 7461 7274 0d0a 0000 0000 0000   restart........
00001f0: 0000 0000 0000 0000 83a0 b3c9 0000 55aa  ..............U.</code></pre>



<p class="wp-block-paragraph">Ermitteln Sie Sektor- und Clustergröße.</p>



<ul class="wp-block-list">
<li>Sektorgröße (<em>Offset 11-12</em>): 0002 = 0x0200 = 512 Byte pro Sektor</li>



<li>Clustergröße (<em>Offset: 13</em>): 08 = 0x08 = 8 Sektoren pro Cluster</li>
</ul>



<p class="wp-block-paragraph">Wir verfizieren unsere Berechnung durch&nbsp;<code>fsstat</code>.</p>



<pre class="wp-block-code"><code>$ fsstat partition_1.dd

&#91;...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

&#91;...]</code></pre>



<p class="wp-block-paragraph">Wie ist die Größe des Dateisystems in Byte?</p>



<ul class="wp-block-list">
<li>Dateisystemgröße (<em>Offset 40-47</em>): ff17 9c00 0000 0000 = 0x9c17ff = 10.229.759 HDD-Blöcke</li>



<li>10.229.759 HDD-Blöcke = 5.237.636.608 Byte</li>



<li>5.237.636.608 Byte ≈ 5.114.879 KiB ≈ 4.995 MiB ≈ 4,9 GiB</li>
</ul>



<p class="wp-block-paragraph">Wir verfizieren unsere Berechnung durch&nbsp;<code>fsstat</code>.</p>



<pre class="wp-block-code"><code>$ fsstat partition_1.dd

&#91;...]

CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 1278718
Total Sector Range: 0 - 10229758

&#91;...]</code></pre>



<p class="wp-block-paragraph">In welchem Cluster liegt der Beginn der MFT?</p>



<ul class="wp-block-list">
<li>Clusterbeginn (<em>Offset 48-55</em>): 0000 0400 0000 0000 = 0x40000 = 262.144</li>
</ul>



<p class="wp-block-paragraph">Wir verifizieren unsere Berechnung durch&nbsp;<code>fsstat</code>.</p>



<pre class="wp-block-code"><code>$ fsstat partition_1.dd

&#91;...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

&#91;...]</code></pre>



<p class="wp-block-paragraph">Wie lässt sich mittels&nbsp;<code>dd</code>&nbsp;ein 10 Byte langes Passwort in den letzten 10 Byte des MFT-Eintrags der $MFT verstecken? Wie lautet dieser Befehl fur $MFTMirr?</p>



<p class="wp-block-paragraph">Zunächst schauen wir uns die letzten Bytes des MFT-Eintrags an, um später die Ergebnisse nachvollziehen zu können.</p>



<pre class="wp-block-code"><code>$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

&#91;...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 0000 0000 0000 0000 0000 6600  ..............f.</code></pre>



<p class="wp-block-paragraph">Die letzten beiden Bytes des MFT-Eintrags sind bereits belegt. Diese dürfen wir nicht verändern, daher überspringen wir nun 1073742836 Bytes (<em>262144*4096+1012</em>).</p>



<pre class="wp-block-code"><code>$ dd if=passwort.txt of=partition_1.dd seek=1073742836 bs=1 count=10 conv=notrunc
10+0 Datensätze ein
10+0 Datensätze aus
10 Bytes (10 B) kopiert, 6,3537e-05 s, 157 kB/s</code></pre>



<p class="wp-block-paragraph">Wir überprüfen nun unsere Arbeit, indem wir uns den Hexdump am Ende nochmals anschauen.</p>



<pre class="wp-block-code"><code>$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

&#91;...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 3150 4153 5357 4f52 4431 6600  ....1PASSWORD1f.</code></pre>



<p class="wp-block-paragraph">Das Kopieren war also erfolgreich. Für $MFTMirr müssten wir den Offset lediglich weitere 1024 Byte weiterschieben, um die Änderung dort ebenfalls vorzunehmen.</p>



<p class="wp-block-paragraph">Wie lassen sich die ersten 100 MFT-Einträge herausschreiben?</p>



<p class="wp-block-paragraph">Hierfür müssen wir zunächst bestimmen, wie groß ein MFT-Eintrag ist. Die Information dazu steht am Offset 64 im MFT.</p>



<pre class="wp-block-code"><code>$ xxd -skip 64 -l 1 partition_1.dd 
0000040: f6</code></pre>



<p class="wp-block-paragraph">Als Dezimalzahl würde dies 246 bedeuten. Das macht auf den ersten Blick keinen großen Sinn. Nach einer kurzen Recherche hat sich ergeben, dass diese Zahl vorzeichenbehafted (<em>signed</em>) ist und daher erstmal umgewandelt werden muss. Hierfür invertieren wir alle Bits und addieren 1 darauf. Danach verwenden wir das Resultat als Exponent für 2<sup>n</sup>, um die Eintragsgröße zu ermitteln.</p>



<ol class="wp-block-list">
<li>11110110 → 00001001</li>



<li>00001001 + 1 = 00001010</li>



<li>00001010 = 10</li>



<li>2<sup>10</sup> = 1024 Byte</li>
</ol>



<p class="wp-block-paragraph">Wir wissen nun, dass ein Record 1024 Byte groß sein muss. Für&nbsp;<code>dd</code>&nbsp;bedeutet dies, dass wir 102400 Byte herausschreiben müssen für 100 Records.</p>



<pre class="wp-block-code"><code># icat partition_1.dd 0 | dd of=einhundert.dd bs=1024 count=100
100+0 Datensätze ein
100+0 Datensätze aus
102400 Bytes (102 kB) kopiert, 0,00724432 s, 14,1 MB/s</code></pre>



<p class="wp-block-paragraph">Was ist ein ADS?</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">NTFS ermöglicht sogenannte Alternate Data Streams (ADS). Mit dieser Funktion können Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. An jede Datei können beliebig viele andere Dateien angehängt werden, die nicht sichtbar sind, aber – solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet – zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstrom namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten..https://de.wikipedia.org/wiki/Alternativer_Datenstrom</p>
</blockquote>



<p class="wp-block-paragraph">Wie lasst sich unter Zuhilfenahme des Sleuthkit herausfinden, ob eine Datei einen ADS verwendet?</p>



<p class="wp-block-paragraph">Mit&nbsp;<code>fls</code>&nbsp;können wir uns alle Dateien auf dem Dateisystem anzeigen lassen. Ein ADS ist am Doppelpunkt zwischen den Dateinamen zu erkennen. Beispielhaft suchen wir nun nach einer Datei, die auf g endet und einen ADS besitzt.</p>



<pre class="wp-block-code"><code>$ fls -f ntfs -r partition_1.dd | grep g:
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos</code></pre>



<p class="wp-block-paragraph">Wollen wir uns den Inhalt des ADS ansehen, müssen wir diesen über die Metadata Address ansprechen. Die 7821 steht für die Inode, die 128 für den Attribute Type und die 5 für eine einzigartige ID.</p>



<pre class="wp-block-code"><code>$ icat -f ntfs partition_1.dd 7821-128-5
"W)5S_DXitLN" </code></pre>



<p class="wp-block-paragraph">Welche Informationen über die Datei mit der Inode-Nummer 3727 können Sie aus der MFT gewinnen?</p>



<pre class="wp-block-code"><code>$ icat partition_1.dd 0 | xxd -l 1024 -skip 3816448
03a3c00: 4649 4c45 3000 0300 ada3 a002 0000 0000  FILE0...........
03a3c10: 0300 0200 3800 0100 2002 0000 0004 0000  ....8... .......
03a3c20: 0000 0000 0000 0000 0500 0000 8f0e 0000  ................
03a3c30: 0200 0000 0000 0000 1000 0000 6000 0000  ............`...
03a3c40: 0000 0000 0000 0000 4800 0000 1800 0000  ........H.......
03a3c50: 06f7 5f0e 5a4b cf01 00fd d9ba f507 c901  .._.ZK..........
03a3c60: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3c70: 2000 0000 0000 0000 0000 0000 0000 0000   ...............
03a3c80: 0000 0000 9901 0000 0000 0000 0000 0000  ................
03a3c90: 0000 0000 0000 0000 3000 0000 7800 0000  ........0...x...
03a3ca0: 0000 0000 0000 0300 5a00 0000 1800 0100  ........Z.......
03a3cb0: 8e0e 0000 0000 0300 06f7 5f0e 5a4b cf01  .........._.ZK..
03a3cc0: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3cd0: 06f7 5f0e 5a4b cf01 0000 0000 0000 0000  .._.ZK..........
03a3ce0: 0000 0000 0000 0000 2000 0000 0000 0000  ........ .......
03a3cf0: 0c02 5700 4900 4e00 4400 4f00 5700 7e00  ..W.I.N.D.O.W.~.
03a3d00: 3100 2e00 4a00 5000 4700 6900 7200 6100  1...J.P.G.i.r.a.
03a3d10: 3000 0000 c000 0000 0000 0000 0000 0200  0...............
03a3d20: a600 0000 1800 0100 8e0e 0000 0000 0300  ................
03a3d30: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d40: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d50: 0000 0000 0000 0000 0000 0000 0000 0000  ................
03a3d60: 2000 0000 0000 0000 3201 5700 6900 6e00   .......2.W.i.n.
03a3d70: 6400 6f00 7700 7300 2000 5800 5000 2000  d.o.w.s. .X.P. .
03a3d80: 5000 6900 7200 6100 7400 6500 6400 2000  P.i.r.a.t.e.d. .
03a3d90: 4500 6400 6900 7400 6900 6f00 6e00 2000  E.d.i.t.i.o.n. .
03a3da0: 2d00 2000 3400 3b00 3300 2000 5300 6300  -. .4.;.3. .S.c.
03a3db0: 7200 6500 6500 6e00 2000 4600 6f00 7200  r.e.e.n. .F.o.r.
03a3dc0: 6d00 6100 7400 2e00 6a00 7000 6700 0000  m.a.t...j.p.g...
03a3dd0: 8000 0000 4800 0000 0100 0000 0000 0400  ....H...........
03a3de0: 0000 0000 0000 0000 3000 0000 0000 0000  ........0.......
03a3df0: 4000 0000 0000 0000 0010 0300 0000 0200  @...............
03a3e00: 8603 0300 0000 0000 8603 0300 0000 0000  ................
03a3e10: 3131 f452 0200 0100 ffff ffff 8279 4711  11.R.........yG.
03a3e20: 0000 0000 0000 0000 0000 0000 0000 0000  ................
&#91;...]
03a3ff0: 0000 0000 0000 0000 0000 0000 0000 0200  ................</code></pre>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><th>Offset</th><th>Zweck</th><th>Auswertung</th></tr></thead><tbody><tr><td>0-3</td><td>Signature: either FILE or BAAD, which denotes a bad entry</td><td>4649 4c45 = 0x454c4946 =&#8220;FILE&#8220;</td></tr><tr><td>4-5</td><td>Offset to fixup array</td><td>3000 = 0x0030 = Fixup array beginnt ab Byte 0x30 (<em>=0400</em>)</td></tr><tr><td>6-7</td><td>Number of entries in fixup array</td><td>0300 = 0x0003 = 3 Einträge</td></tr><tr><td>8-15</td><td>$LogFile sequence number</td><td>ada3 a002 0000 0000 = 0x02a0a3ad = Sequenznummer 44082093</td></tr><tr><td>16-17</td><td>Sequence number</td><td>0300 = 0x0003 = Sequemznummer 3</td></tr><tr><td>18-19</td><td>Link count</td><td>0200 = 0x0002 = 2 Links</td></tr><tr><td>20-21</td><td>Offset to first attribute</td><td>3800 = 0x0038 = 56</td></tr><tr><td>22-23</td><td>Flags</td><td>0100 = 0x0001 = 0x01 (<em>0x01: record in use, 0x02 directory</em>)</td></tr><tr><td>24-27</td><td>Used size of MFT entry</td><td>2002 0000 = 0x0220 = 533 (<em>0x</em><em>03a3c00 + 0x220 = 0x3a3e20</em>)</td></tr><tr><td>28-31</td><td>Allocated size of MFT entry</td><td>0004 0000 = 0x0400 = 1024</td></tr><tr><td>32-39</td><td>File reference to base record</td><td>0000 0000 0000 0000 = 0x0= 0</td></tr><tr><td>40-41</td><td>Next attribute identifier</td><td>0500 = 0x0005 = 5</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Welche Bedeutung hat das Resident-Flag?</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">When a file&#8217;s attributes can fit within the MFT file record, they are called resident attributes. For example, information such as filename and time stamp are always included in the MFT file record. When all of the information for a file is too large to fit in the MFT file record, some of its attributes are nonresident. The nonresident attributes are allocated one or more clusters of disk space elsewhere in the volume.http://ntfs.com/ntfs-files-types.htm</p>
</blockquote>



<p class="wp-block-paragraph">Wenn die Attribute einer Datei kleiner als 700KiB sind, werden sie im MFT Record abgelegt. Sollten sie nicht mehr in den Record passen, werden sie als nonresident gekennzeichnet und werden anderweitig abgelegt. Zugriffe auf solche Attribute erzeugen folglich Performanzverluste.</p>



<p class="wp-block-paragraph">Welche Bedeutung hat das Attribut $LOGGED_UTILITY_STREAM?</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">The $LOGGED_UTILITY_STREAM Attribute: Type 0x100 &#8212; layout and treatment is similar to $DATA attribute. Every EFS encrypted file will have this attribute to store the file encryption key used during encryption/de.http://www.c-jump.com/bcc/t256t/Week04NtfsReview/W01_0500_the_loggedutilitys.htm</p>
</blockquote>



<p class="wp-block-paragraph">Dieses Attribut wird scheinbar von einem Encrypting File System (EFS) genutzt, um darin die verwendeten Schlüssel während der Verschlüsselung abzulegen. Folglich besitzt jede verschlüsselte Datei dieses Attribut.</p>



<p class="wp-block-paragraph">Ist Cluster 45904 alloziert?</p>



<p class="wp-block-paragraph">Die Informationen zu den allozierten Clustern können wir $Bitmap entnehmen. Dafür brauchen wir aber noch etwas mehr Hintergrundwissen.</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">This file keeps track of all of the used and unused clusters on an NTFS volume. Each bit in the Bitmap represents 1 cluster, if that bit is “1” then the cluster is in use. For example if a byte in the BitMap is “F”, this means that 4 clusters are in use as F (hex) = 1111 in binary.https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/</p>
</blockquote>



<p class="wp-block-paragraph">Dank dieser Information wissen wir nun, dass jedes Bit ein Cluster repräsentiert. In der Binärdarstellung eines Bytes steht ganz rechts das kleinste Cluster und links das größte Cluster.</p>



<pre class="wp-block-code"><code>$ icat partition_1.dd 6 | xxd -skip 5738 -l 1
000166a: fe</code></pre>



<p class="wp-block-paragraph">0xfe entspricht wird binär als 11111110 dargestellt. Gemäß unserer Definition steht rechts das kleinste Cluster. Cluster 45904 ist daher nicht alloziert.</p>



<h3 class="wp-block-heading">Anwendungsforensik</h3>



<p class="wp-block-paragraph">In dieser Aufgabe sollen Sie ein paar Fragen zur Windows Registry beantworten. Bitte verwenden Sie im Folgenden partition_1.dd.</p>



<p class="wp-block-paragraph">Welche Anwendungen werden beim Start des Systems aufgerufen?</p>



<p class="wp-block-paragraph">Microsoft beschreibt, dass Informationen zum Autostart an den folgenden Stellen in der Registry gefunden werden kann.</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">List of common autorun locations: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\System\CurrentControlSet\Services HKLM\System\CurrentControlSet\Control\Terminal Server HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.https://support.microsoft.com/de-de/kb/2647300/de</p>
</blockquote>



<p class="wp-block-paragraph">Mithilfe von&nbsp;<code>regripper</code>&nbsp;werten wir die Registry aus.</p>



<pre class="wp-block-code"><code>user_run v.20130329

(NTUSER.DAT) &#91;Autostart] Get autostart key contents from NTUSER.DAT hive

  Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE: C:\WINDOWS\system32\ctfmon.exe
    Skype: "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    SSS15 Browser Monitor: "C:\Program Files\Steganos Privacy Suite 15\SteganosBrowserMonitor.exe"
</code></pre>



<pre class="wp-block-code"><code>soft_run v.20130329
(Software) &#91;Autostart] Get autostart key contents from Software hive

  Microsoft\Windows\CurrentVersion\Run
  LastWrite Time Tue Apr  1 01:24:26 2014 (UTC)
    DWQueuedReporting - "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
    BluetoothAuthenticationAgent - rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    Steganos HotKeys - "C:\Program Files\Steganos Privacy Suite 15\SteganosHotKeyService.exe"
    PHIME2002ASync - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    CoolSwitch - C:\WINDOWS\system32\taskswitch.exe
    PHIME2002A - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    SSS15 Chrome Autofill Relay - "C:\Program Files\Steganos Privacy Suite 15\passwordmanagercom.exe"
    SSS15 File Redirection Starter - "C:\Program Files\Steganos Privacy Suite 15\fredirstarter.exe"
    IMJPMIG8.1 - "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32</code></pre>



<p class="wp-block-paragraph">Welche Dateien wurden zuletzt verwendet?</p>



<pre class="wp-block-code"><code>recentdocs v.20100405
(NTUSER.DAT) Gets contents of user's RecentDocs key

  RecentDocs
  **All values printed in MRUList\MRUListEx order.
  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
  LastWrite Time Sun Mar 30 17:38:32 2014 (UTC)
    1 = Startup
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs
    3 = My Pictures
    9 = 4.jpeg
    8 = 3.jpeg
    7 = 2.jpeg
    5 = index.jpeg
    6 = Edoofy.jpeg
    4 = images.jpeg
    2 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm
  LastWrite Time Sun Mar 30 17:08:51 2014 (UTC)
  MRUListEx = 0
    0 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpeg
  LastWrite Time Sun Mar 30 17:15:37 2014 (UTC)
  MRUListEx = 5,4,1,3,2,0
    5 = 4.jpeg
    4 = 3.jpeg
    1 = 2.jpeg
    3 = index.jpeg
    2 = Edoofy.jpeg
    0 = images.jpeg

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.vbs
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0,2
    0 = Startup
    2 = My Pictures</code></pre>



<p class="wp-block-paragraph">Welche Anwendungen wurden zuletzt über den Common-Dialog aufgerufen?</p>



<pre class="wp-block-code"><code>comdlg32 v.20121008

  Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
  LastWrite Time Sun Mar 30 16:53:10 2014 (UTC)
  LastVisitedMRU
  LastWrite: Sun Mar 30 17:14:43 2014
    MRUList = bca
    b -&gt; EXE: firefox.exe
      -&gt; Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    c -&gt; EXE: Skype.exe
      -&gt; Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    a -&gt; EXE: IEXPLORE.EXE
      -&gt; Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents

  OpenSaveMRU\*
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = ihgefdcba
    i -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    h -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    g -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    e -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    f -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    d -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg
    c -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm
    b -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\exe
  LastWrite Time: Sun Mar 30 16:54:29 2014 Z
    MRUList = ba
    b -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\htm
  LastWrite Time: Sun Mar 30 17:08:51 2014 Z
    MRUList = a
    a -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm

  OpenSaveMRU\jpeg
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = fedbca
    f -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    e -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    d -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    b -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    c -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    a -&gt; C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg</code></pre>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/07/computer-forensik-praktikum-4/">Computer Forensik (Praktikum 4)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/07/computer-forensik-praktikum-4/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Klausurvorbereitung)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-klausurvorbereitung/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-klausurvorbereitung/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 29 Jun 2015 09:05:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2839</guid>

					<description><![CDATA[<p>Am heutigen Termin werden letzte Fragen zur Klausur beantwortet. Skript-Anfang Kapitel 1 &#8211; Seite 1 Skript-Ende Kapitel 8 &#8211; Seite 143 Klausur Wie sind die&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-klausurvorbereitung/">Computer Forensik (Klausurvorbereitung)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Am heutigen Termin werden letzte Fragen zur Klausur beantwortet.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Kapitel 1 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Kapitel 8 &#8211; Seite 143</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">Klausur</h3>



<p class="wp-block-paragraph">Wie sind die organisatorischen Rahmenbedingungen?</p>



<ul class="wp-block-list">
<li>Es sind keine Hilfsmittel erlaubt</li>



<li>Für Auswertungen von Hexdumps werden Tabellen zur Verfügung gestellt</li>



<li>Alle Themen der Vorlesung können in der Klausur abgefragt werden</li>
</ul>



<p class="wp-block-paragraph">Wie könnten Fragen formuliert sein?</p>



<ul class="wp-block-list">
<li>Was ist ein MBR?</li>



<li>Erklären Sie den Unterschied zwischen LBA- und CHS-Adressierung.</li>



<li>Bestimmen Sie grob den Wert der Zeitstempel.</li>



<li>Wann ändern sich welche Zeitstempel?</li>



<li>Wie funktioniert der Bloom-Filter?</li>
</ul>



<h3 class="wp-block-heading">Rückfragen</h3>



<p class="wp-block-paragraph">Wie funktioniert der Bloom-Filter?</p>



<ul class="wp-block-list">
<li>Datenstruktur, mit deren Hilfe sehr schnell festgestellt werden kann, welche Daten in einem Datenstrom schon einmal vorgekommen sind</li>



<li>Besteht aus einem m-stelligen Bit-Array (welches zu Beginn mit Nullen gefüllt ist)</li>



<li>Er verwendet k unterschiedliche Hashfunktionen mit einem Wertebereich von 0 bis m-1</li>



<li>Für jeden zu speichernden Wert werden k Hashwerte bestimmt</li>



<li>Steht an einer zu speichernden Position im Array eine Null, so ist der Wert noch unbekannt</li>



<li>Steht an einer zu speichernden Position im Array eine Eins, ist der Wert eventuell bekannt</li>



<li>Je mehr der k Positionen mit Einsen belegt ist, desto wahrscheinlicher ist es, dass der Wert schon bekannt ist</li>



<li>Das Auftreten von Kollisionen sorgt jedoch dafür, dass keine absolute Aussage getroffen werden kann</li>



<li>Bloom-Filter unterstützen keine Löschoperationen</li>
</ul>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c4bb57&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c4bb57" class="wp-block-image size-full wp-lightbox-container"><img fetchpriority="high" decoding="async" width="611" height="214" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150703-cofo-bloom.png" alt="" class="wp-image-2840" title="Funktionsweise des Bloom-Filters" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150703-cofo-bloom.png 611w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150703-cofo-bloom-300x105.png 300w" sizes="(max-width: 611px) 100vw, 611px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Funktionsweise des Bloom-Filters</figcaption></figure>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-klausurvorbereitung/">Computer Forensik (Klausurvorbereitung)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-klausurvorbereitung/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Praktikum 5)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-praktikum-5/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-praktikum-5/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Thu, 25 Jun 2015 17:53:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2863</guid>

					<description><![CDATA[<p>Im letzten Praktikum fahren wir mit der Analyse der Windows-Installation aus dem vierten Praktikum fort. Wir extrahieren in diesem Kontext Informationen aus den Anwendungsdatenbanken von&#160;Mozilla&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-praktikum-5/">Computer Forensik (Praktikum 5)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Im letzten Praktikum fahren wir mit der Analyse der Windows-Installation aus dem vierten Praktikum fort. Wir extrahieren in diesem Kontext Informationen aus den Anwendungsdatenbanken von&nbsp;<em>Mozilla Firefox</em>&nbsp;und&nbsp;<em>Microsoft Skype</em>. Weiterhin suchen wir nach versteckten Dateien auf der Partition und wenden kryptographische Werkzeuge zur Entschlüsselung von geschützten Dateien an.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Praktikum 5 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Praktikum 5 &#8211; Seite 1</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">Anwendungsforensik</h3>



<p class="wp-block-paragraph">Zur Lösung folgender Aufgaben verwenden Sie&nbsp;<em>partition_1.dd</em>.</p>



<p class="wp-block-paragraph">Sicherstellung der Integrität</p>



<p class="wp-block-paragraph">Wir bestimmten zunächst die Hashshumme des Images und gleichen dieses mit dem vorherigen Praktikum ab, um die Unverändertheit unserer Arbeitskopie zu ermitteln.</p>



<pre class="wp-block-code"><code>$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd</code></pre>



<h4 class="wp-block-heading">Firefox</h4>



<p class="wp-block-paragraph">Wo befinden sich die Firefox-Dateien und wie können Sie diese sichern?</p>



<p class="wp-block-paragraph">Es gibt einige Standardpfade unter denen Dateien des Firefox-Browsers abgelegt werden. Wir schauen uns zunächst die Installationsinformationen diesbezüglich über&nbsp;<code>regripper</code>&nbsp;an, um zu erfahren, wo die Firefox-Instanz installiert wurde.</p>



<pre class="wp-block-code"><code>&#91;...]

App Paths
Microsoft\Windows\CurrentVersion\App Paths

	Sun Mar 30 16:55:51 2014 (UTC)
	firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe
	
&#91;...]</code></pre>



<p class="wp-block-paragraph">Laut der Registry liegt die Installation des Firefox somit unter&nbsp;<em>C:\Program Files\Mozilla Firefox\firefox.exe</em>. Interessanter sind jedoch die Profile und damit verbunden der Browser-Verlauf und die Favoriten. Da wir nun auf Anwendungsebene arbeiten, ist das Mounten des Images und das Durchsuchen auf Dateisystemebene absolut legitim. Um keine Daten zu verändern, mounten wir mit&nbsp;<em>readonly</em>&nbsp;als Parameter.</p>



<pre class="wp-block-code"><code>$ sudo mount -o ro partition_1.dd /mnt</code></pre>



<p class="wp-block-paragraph">Mittels&nbsp;<code>find</code>&nbsp;können wir nun nach Dateien mit vielversprechenden Zeichenketten im Namen suchen.</p>



<pre class="wp-block-code"><code>$ find /mnt/ -name "*Moz*"
/mnt/Documents and Settings/All Users/Application Data/Mozilla
/mnt/Documents and Settings/All Users/Desktop/Mozilla Firefox.lnk
/mnt/Documents and Settings/All Users/Start Menu/Programs/Mozilla Firefox.lnk
/mnt/Documents and Settings/Owner/Application Data/Microsoft/Internet Explorer/Quick Launch/Mozilla Firefox.lnk
/mnt/Documents and Settings/Owner/Application Data/Mozilla
/mnt/Documents and Settings/Owner/Favorites/Downloads/Programs/Mozilla Thunderbird - Free eMail Program.url
/mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla
/mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla/Firefox/Mozilla Firefox
/mnt/Program Files/Mozilla Firefox
/mnt/Program Files/Mozilla Maintenance Service</code></pre>



<p class="wp-block-paragraph">Da wir uns konkret für den Anwender&nbsp;<em>Owner</em>&nbsp;interessieren, sind nur die Pfade&nbsp;<em>/mnt/Documents and Settings/Owner/Application Data/Mozilla</em>&nbsp;und&nbsp;<em>/mnt/Documents and Settings/Owner/Local Settings/Application Data/Mozilla</em>&nbsp;für uns von Interesse. Üblicherweise sind unter&nbsp;<em>Application Data</em>&nbsp;die Profile des Firefox abgelegt. Wir packen das vorhandene Profil in ein Archiv und berechnen eine Hashsumme, um die Dateien wie gefordert zu sichern.</p>



<pre class="wp-block-code"><code>$ zip -r /home/mkr/Downloads/profile.zip fq5mn4su.default/
  adding: fq5mn4su.default/ (stored 0%)
  adding: fq5mn4su.default/extensions/ (stored 0%)
  adding: fq5mn4su.default/extensions/savedpasswordeditor@daniel.dawson.xpi (deflated 9%)
  adding: fq5mn4su.default/minidumps/ (stored 0%)
  adding: fq5mn4su.default/secmod.db (deflated 97%)
  adding: fq5mn4su.default/addons.json (deflated 67%)
  adding: fq5mn4su.default/blocklist.xml (deflated 89%)
  adding: fq5mn4su.default/bookmarkbackups/ (stored 0%)
  adding: fq5mn4su.default/bookmarkbackups/bookmarks-2014-03-30_8.json (deflated 73%)
  adding: fq5mn4su.default/bookmarkbackups/bookmarks-2014-03-31_5.json (deflated 67%)
  adding: fq5mn4su.default/cert8.db (deflated 78%)
  adding: fq5mn4su.default/compatibility.ini (deflated 29%)
  adding: fq5mn4su.default/content-prefs.sqlite (deflated 100%)
  adding: fq5mn4su.default/cookies.sqlite (deflated 83%)
  adding: fq5mn4su.default/parent.lock (stored 0%)
  adding: fq5mn4su.default/permissions.sqlite (deflated 98%)
  adding: fq5mn4su.default/places.sqlite (deflated 97%)
  adding: fq5mn4su.default/pluginreg.dat (deflated 61%)
  adding: fq5mn4su.default/prefs.js (deflated 67%)
  adding: fq5mn4su.default/search.json (deflated 70%)
  adding: fq5mn4su.default/sessionstore.bak (deflated 63%)
  adding: fq5mn4su.default/sessionstore.js (deflated 74%)
  adding: fq5mn4su.default/signons.sqlite (deflated 100%)
  adding: fq5mn4su.default/storage/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/.metadata (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/818200132aebmoouht/ (stored 0%)
  adding: fq5mn4su.default/storage/persistent/moz-safe-about+home/idb/818200132aebmoouht.sqlite (deflated 96%)
  adding: fq5mn4su.default/times.json (stored 0%)
  adding: fq5mn4su.default/urlclassifierkey3.txt (deflated 5%)
  adding: fq5mn4su.default/webapps/ (stored 0%)
  adding: fq5mn4su.default/webapps/webapps.json (stored 0%)
  adding: fq5mn4su.default/webappsstore.sqlite (deflated 98%)
  adding: fq5mn4su.default/extensions.ini (deflated 27%)
  adding: fq5mn4su.default/extensions.json (deflated 70%)
  adding: fq5mn4su.default/formhistory.sqlite (deflated 99%)
  adding: fq5mn4su.default/healthreport/ (stored 0%)
  adding: fq5mn4su.default/healthreport.sqlite (deflated 99%)
  adding: fq5mn4su.default/key3.db (deflated 97%)
  adding: fq5mn4su.default/localstore.rdf (deflated 78%)
  adding: fq5mn4su.default/mimeTypes.rdf (deflated 82%)

$ sha256sum /home/mkr/Downloads/profile.zip 
5b977147f030fc55e02cfabdf363884b75d844cd7586aad177a007e25945b2ee  /home/mkr/Downloads/profile.zip</code></pre>



<p class="wp-block-paragraph">Welche Websites wurden besucht?</p>



<p class="wp-block-paragraph">Wir verwenden die Datenbankdatei&nbsp;<em>places.sqlite</em>&nbsp;für alle folgenden Aufgaben als bevorzugte Datenquelle. Wir untersuchen die Datenbankstruktur mittels&nbsp;<code>sqlitebrowser</code>&nbsp;und entwerfen entsprechende SQL-Anfragen, um in den folgenden Schritten die Daten zu extrahieren. Zunächst betrachten wir jedoch die History im Browser.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c5376d&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c5376d" class="wp-block-image size-full wp-lightbox-container"><img decoding="async" width="1249" height="788" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-history.png" alt="" class="wp-image-2864" title="Zugriff auf den Firefox-Verlauf im Browser" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-history.png 1249w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-history-300x189.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-history-1024x646.png 1024w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-history-768x485.png 768w" sizes="(max-width: 1249px) 100vw, 1249px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Zugriff auf den Firefox-Verlauf im Browser</figcaption></figure>



<p class="wp-block-paragraph">Über das Kontextmenü kann die komplette Verlaufstabelle kopiert und ins unseren Bericht eingefügt werden. Der folgende Block enthält alle Seiten, die in der History des Browsers aufgeführt werden.</p>



<pre class="wp-block-code"><code>https:&#47;&#47;login.live.com/login.srf?wa=wsignin1.0&amp;ct=1396258049&amp;rver=6.1.6206.0&amp;sa=1&amp;ntprob=-1&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&amp;id=64855&amp;snsc=1&amp;cbcxt=mail
http://www.truecrypt.org/download/transient/5b5a677a9e150db8de7b/TrueCrypt%20Setup%207.1a.exe
http://www.truecrypt.org/downloads
http://www.truecrypt.org/
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.truecrypt.org%2F&ei=0TQ5U_DpCsrLsgaTo4CACA&usg=AFQjCNH8UXHuTTPFsxxhk9LfQtfx7CG5Pg&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=truecrypt&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=cr&ei=0DQ5U8OsM8mK8QfxjIBg
https://login.live.com/login.srf?wa=wsignin1.0&ct=1396257104&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
http://goldesel.to/
https://www.steganos.com/scripts/thankyou/?utm_campaign=sss15&utm_medium=trial&utm_source=steganos&g=3e8f62eb-ee32-4207-a885-bc4da661037c&p=sss15&l=en&v=15.2.1
https://file.steganos.com/software/downloader/steganos/sss15intdle.exe
https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/download/
https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/features/
https://www.steganos.com/de/
http://www.pc-magazin.de/testbericht/sicherheitsprogramme-hide-and-seek-90063.html
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.pc-magazin.de%2Ftestbericht%2Fsicherheitsprogramme-hide-and-seek-90063.html&ei=3gQ4U8XiM4XLtQblmYCoCw&usg=AFQjCNE3AANamxm8wrAfT738ORhzlUI1xA&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=steganos+hide+seek&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=3gQ4U46NIsiK8QfLuYEo
http://de.msn.com/?ocid=mailsignout
https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html
https://login.live.com/logout.srf?ct=1396180070&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de
https://bay181.mail.live.com/default.aspx?id=64855
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179979&rver=6.4.6456.0&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fbay181.mail.live.com%2Fdefault.aspx%3Fid%3D64855&lc=1031&id=64855&mkt=de-DE&cbcxt=mai
https://addons.mozilla.org/de/firefox/addon/saved-password-editor/
https://www.google.de/search?q=firefox+saved+passort+editor&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=5AM4U6_WKMOK8QerxIEg
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396179732&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1
https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTuNPgl_f4uOpcRjYd1WdaAYIq4fpZr2IFRE-EO6dUWuppnbwocow
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=cheerleader&rls=org.mozilla:de:official&tbm=isch
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457#channel=np&q=v+vendetta&rls=org.mozilla:de:official&tbm=isch
https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcRhyWHcxF5G_4NtHB8GPS3dC2NIEYwmMWVzVWZ8t0rAoXMAbRUPow
http://www.google.de/imgres?imgurl=http%3A%2F%2Fimage.karneval-megastore.de%2Fbig%2F114915_phantom_big.jpg&imgrefurl=http%3A%2F%2Fwww.karneval-megastore.de%2Fhtml%2Fproduct_info.php%3Fproducts_id%3D18164&h=300&w=275&tbnid=JlWSbpToLvoPKM%3A&zoom=1&docid=xPSS4iC5LYlaJM&ei=Mfs3U9ybHJDMsgbw1IHIDQ&tbm=isch&iact=rc&dur=655&page=12&start=109&ndsp=11&ved=0CCQQrQMwCjhk
https://www.google.de/search?q=phantom&client=firefox-a&hs=HxZ&rls=org.mozilla:de:official&channel=np&source=lnms&tbm=isch&sa=X&ei=J_s3U7bqF4zEsgax6YDAAQ&ved=0CAgQ_AUoAQ&biw=800&bih=457
https://www.google.de/search?q=phantom&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=np&source=hp&gfe_rd=ctrl&ei=J_s3U_3jAsGK8QfwloEg&gws_rd=cr
https://www.google.de/search?q=porn&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=tPo3U8fZMsqK8QfopoFQ&gws_rd=cr
https://www.google.de/search?q=warez&ie=utf-8&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=ctrl&ei=r_o3U9H1CMqK8QfopoFQ&gws_rd=cr
https://www.google.de/search?q=boerse&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=qfo3U-_GK8qK8QfopoFQ
http://3dl.tv/
http://www.stern.de/
http://www.bka.de/DE/Home/homepage__node.html?__nnn=true
https://www.google.de/
http://www.boerse.bz/toplist/warez-13/
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&sqi=2&ved=0CDQQFjAB&url=http%3A%2F%2Fwww.boerse.bz%2Ftoplist%2Fwarez-13%2F&ei=Tfo3U7aaOoXAtQbrmoHoBQ&usg=AFQjCNEgOQb9XaLhc9UTGTe5u0oKoThLXg&bvm=bv.63808443,d.Yms
https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ#channel=sb&q=warez&rls=org.mozilla:de:official
https://www.google.de/search?q=warey&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=Rvo3U-64NsqK8QfopoFQ
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1396177445&rver=6.4.6456.0&wp=MBI&wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&lc=1031&id=286568&mkt=de-DE&cbcxt=mai&snsc=1
https://login.live.com/logout.srf?ct=1396177341&rver=6.4.6456.0&lc=1031&id=64855&ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&mkt=de-de
https://bay181.mail.live.com/default.aspx?id=64855&owa=1&owasuffix=owa%2f
https://login.live.com/login.srf?wa=wsignin1.0&ct=1396177140&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
https://www.mozilla.org/de/firefox/28.0/firstrun/</code></pre>



<p class="wp-block-paragraph">Für detailliertere Verlaufsinformationen greifen wir auf die Tabellen in der&nbsp;<em>places.sqlite</em>-Datei zu. Wir bilden dafür einen&nbsp;<code>INNER JOIN</code>&nbsp;über die beiden Tabellen&nbsp;<code>moz_places</code>&nbsp;und&nbsp;<code>moz_historyvisits</code>. Wir lassen uns neben der URL auch die Spalte der Aufrufhäufigkeit in absteigender Reihenfolge ausgeben, um die nächste Teilaufgabe zu erledigen.</p>



<pre class="wp-block-code"><code>sqlite&gt; select distinct  p.visit_count,p.url from moz_historyvisits as h, moz_places as p where h.place_id = p.id order by visit_count DESC;
4|https://bay181.mail.live.com/default.aspx?id=64855
4|http://goldesel.to/
3|http://outlook.com/
3|https://www.outlook.com/owa
2|http://bay181.mail.live.com/handlers/Signout.mvc?service=Live.Mail&amp;mkt=de-de&amp;lc=1031
2|http://g.live.com/9ep9nmso/so-DE-DE
2|https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html
2|http://de.msn.com/?ocid=mailsignout
2|http://outlook.de/
2|https://mail.live.com/?id=64855
2|http://3dl.tv/
2|http://google.de/
2|http://www.google.de/
2|https://www.google.de/
1|https://www.mozilla.org/de/firefox/28.0/firstrun/
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;ct=1396177140&amp;rver=6.1.6206.0&amp;sa=1&amp;ntprob=-1&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&amp;id=64855&amp;snsc=1&amp;cbcxt=mail
1|https://mail.live.com/?id=64855&amp;owa=1&amp;owasuffix=owa%2f
1|https://bay181.mail.live.com/default.aspx?id=64855&amp;owa=1&amp;owasuffix=owa%2f
1|https://login.live.com/logout.srf?ct=1396177341&amp;rver=6.4.6456.0&amp;lc=1031&amp;id=64855&amp;ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&amp;mkt=de-de
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;rpsnv=12&amp;ct=1396177445&amp;rver=6.4.6456.0&amp;wp=MBI&amp;wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&amp;lc=1031&amp;id=286568&amp;mkt=de-DE&amp;cbcxt=mai&amp;snsc=1
1|https://www.google.com/search?q=warey&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb
1|https://www.google.de/search?q=warey&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=cr&amp;ei=Rvo3U-64NsqK8QfopoFQ
1|https://www.google.de/search?q=warey&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=cr&amp;ei=Rvo3U-64NsqK8QfopoFQ#channel=sb&amp;q=warez&amp;rls=org.mozilla:de:official
1|http://www.google.de/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=2&amp;sqi=2&amp;ved=0CDQQFjAB&amp;url=http%3A%2F%2Fwww.boerse.bz%2Ftoplist%2Fwarez-13%2F&amp;ei=Tfo3U7aaOoXAtQbrmoHoBQ&amp;usg=AFQjCNEgOQb9XaLhc9UTGTe5u0oKoThLXg&amp;bvm=bv.63808443,d.Yms
1|http://www.boerse.bz/toplist/warez-13/
1|http://bka.de/
1|http://www.bka.de/DE/Home/homepage__node.html?__nnn=true
1|http://stern.de/
1|http://www.stern.de/
1|https://www.google.com/search?q=boerse&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb
1|https://www.google.de/search?q=boerse&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=cr&amp;ei=qfo3U-_GK8qK8QfopoFQ
1|https://www.google.com/search?q=warez&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb
1|https://www.google.de/search?q=warez&amp;ie=utf-8&amp;oe=utf-8&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=ctrl&amp;ei=r_o3U9H1CMqK8QfopoFQ&amp;gws_rd=cr
1|https://www.google.com/search?q=porn&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb
1|https://www.google.de/search?q=porn&amp;ie=utf-8&amp;oe=utf-8&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=ctrl&amp;ei=tPo3U8fZMsqK8QfopoFQ&amp;gws_rd=cr
1|https://www.google.com/search?q=phantom&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=np&amp;source=hp
1|https://www.google.de/search?q=phantom&amp;ie=utf-8&amp;oe=utf-8&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=np&amp;source=hp&amp;gfe_rd=ctrl&amp;ei=J_s3U_3jAsGK8QfwloEg&amp;gws_rd=cr
1|https://www.google.de/search?q=phantom&amp;client=firefox-a&amp;hs=HxZ&amp;rls=org.mozilla:de:official&amp;channel=np&amp;source=lnms&amp;tbm=isch&amp;sa=X&amp;ei=J_s3U7bqF4zEsgax6YDAAQ&amp;ved=0CAgQ_AUoAQ&amp;biw=800&amp;bih=457
1|https://www.google.de/search?q=phantom&amp;client=firefox-a&amp;hs=HxZ&amp;rls=org.mozilla:de:official&amp;channel=np&amp;source=lnms&amp;tbm=isch&amp;sa=X&amp;ei=J_s3U7bqF4zEsgax6YDAAQ&amp;ved=0CAgQ_AUoAQ&amp;biw=800&amp;bih=457#channel=np&amp;q=v+vendetta&amp;rls=org.mozilla:de:official&amp;tbm=isch
1|https://www.google.de/search?q=phantom&amp;client=firefox-a&amp;hs=HxZ&amp;rls=org.mozilla:de:official&amp;channel=np&amp;source=lnms&amp;tbm=isch&amp;sa=X&amp;ei=J_s3U7bqF4zEsgax6YDAAQ&amp;ved=0CAgQ_AUoAQ&amp;biw=800&amp;bih=457#channel=np&amp;q=cheerleader&amp;rls=org.mozilla:de:official&amp;tbm=isch
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;rpsnv=12&amp;ct=1396179732&amp;rver=6.4.6456.0&amp;wp=MBI&amp;wreply=http%3a%2f%2fmail.live.com%2fdefault.aspx&amp;lc=1031&amp;id=286568&amp;mkt=de-DE&amp;cbcxt=mai&amp;snsc=1
1|https://www.google.com/search?q=firefox+saved+passort+editor&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=fflb
1|https://www.google.de/search?q=firefox+saved+passort+editor&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=fflb&amp;gfe_rd=cr&amp;ei=5AM4U6_WKMOK8QerxIEg
1|https://addons.mozilla.org/de/firefox/addon/saved-password-editor/
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;rpsnv=12&amp;ct=1396179979&amp;rver=6.4.6456.0&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fbay181.mail.live.com%2Fdefault.aspx%3Fid%3D64855&amp;lc=1031&amp;id=64855&amp;mkt=de-DE&amp;cbcxt=mai
1|https://login.live.com/logout.srf?ct=1396180070&amp;rver=6.4.6456.0&amp;lc=1031&amp;id=64855&amp;ru=http:%2F%2Fbay181.mail.live.com%2Fhandlers%2FSignout.mvc%3Fservice%3DLive.Mail%26mkt%3Dde-de&amp;mkt=de-de
1|https://www.google.com/search?q=steganos+hide+seek&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb
1|https://www.google.de/search?q=steganos+hide+seek&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=sb&amp;gfe_rd=cr&amp;ei=3gQ4U46NIsiK8QfLuYEo
1|http://www.google.de/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;ved=0CDAQFjAA&amp;url=http%3A%2F%2Fwww.pc-magazin.de%2Ftestbericht%2Fsicherheitsprogramme-hide-and-seek-90063.html&amp;ei=3gQ4U8XiM4XLtQblmYCoCw&amp;usg=AFQjCNE3AANamxm8wrAfT738ORhzlUI1xA&amp;bvm=bv.63808443,d.Yms
1|http://www.pc-magazin.de/testbericht/sicherheitsprogramme-hide-and-seek-90063.html
1|http://www.steganos.de/
1|https://www.steganos.com/de/
1|https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/features/
1|https://www.steganos.com/de/produkte/datensicherheit/privacy-suite/download/
1|https://www.steganos.com/scripts/thankyou/?utm_campaign=sss15&amp;utm_medium=trial&amp;utm_source=steganos&amp;g=3e8f62eb-ee32-4207-a885-bc4da661037c&amp;p=sss15&amp;l=en&amp;v=15.2.1
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;ct=1396257104&amp;rver=6.1.6206.0&amp;sa=1&amp;ntprob=-1&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&amp;id=64855&amp;snsc=1&amp;cbcxt=mail
1|https://www.google.com/search?q=truecrypt&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=np&amp;source=hp
1|https://www.google.de/search?q=truecrypt&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.mozilla:de:official&amp;client=firefox-a&amp;channel=np&amp;source=hp&amp;gfe_rd=cr&amp;ei=0DQ5U8OsM8mK8QfxjIBg
1|http://www.google.de/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;ved=0CDAQFjAA&amp;url=http%3A%2F%2Fwww.truecrypt.org%2F&amp;ei=0TQ5U_DpCsrLsgaTo4CACA&amp;usg=AFQjCNH8UXHuTTPFsxxhk9LfQtfx7CG5Pg&amp;bvm=bv.63808443,d.Yms
1|http://www.truecrypt.org/
1|http://www.truecrypt.org/downloads
1|https://login.live.com/login.srf?wa=wsignin1.0&amp;ct=1396258049&amp;rver=6.1.6206.0&amp;sa=1&amp;ntprob=-1&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&amp;id=64855&amp;snsc=1&amp;cbcxt=mail
0|http://www.google.de/imgres?imgurl=http%3A%2F%2Fimage.karneval-megastore.de%2Fbig%2F114915_phantom_big.jpg&amp;imgrefurl=http%3A%2F%2Fwww.karneval-megastore.de%2Fhtml%2Fproduct_info.php%3Fproducts_id%3D18164&amp;h=300&amp;w=275&amp;tbnid=JlWSbpToLvoPKM%3A&amp;zoom=1&amp;docid=xPSS4iC5LYlaJM&amp;ei=Mfs3U9ybHJDMsgbw1IHIDQ&amp;tbm=isch&amp;iact=rc&amp;dur=655&amp;page=12&amp;start=109&amp;ndsp=11&amp;ved=0CCQQrQMwCjhk
0|https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcRhyWHcxF5G_4NtHB8GPS3dC2NIEYwmMWVzVWZ8t0rAoXMAbRUPow
0|https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTuNPgl_f4uOpcRjYd1WdaAYIq4fpZr2IFRE-EO6dUWuppnbwocow
0|https://file.steganos.com/software/downloader/steganos/sss15intdle.exe
0|http://www.truecrypt.org/download/transient/5b5a677a9e150db8de7b/TrueCrypt%20Setup%207.1a.exe</code></pre>



<p class="wp-block-paragraph">Offensichtlich werden somit mehr History-Einträge aufgeführt, als der Browser selbst anzeigt. Dies ist dem Umstand geschuldet, dass der Browser keine Einträge aufführt, die den Wert 1 im&nbsp;<code>hidden</code>-Feld eingetragen haben. Eine ergänzende Liste von aufgerufenen Seiten erhalten wir aus den Cookie-Einträge in der Datenbank.</p>



<pre class="wp-block-code"><code>sqlite&gt; select DISTINCT baseDomain from moz_cookies;
360yield.com
3dl.tv
abmr.net
ad-srv.net
ad6media.fr
adaos-ads.net
adform.net
adition.com
admized.com
adnet.de
adnxs.com
adscale.de
adspirit.de
adwelt.com
atdmt.com
bing.com
bluekai.com
boerse.bz
creative-serving.com
criteo.com
crwdcntrl.net
demdex.net
doubleclick.net
ebay.com
flashtalking.com
gbseite.de
gmads.net
goldesel.to
google.com
google.de
hurra.com
intellitxt.com
ioam.de
ivwbox.de
krxd.net
levexis.com
live.com
mathtag.com
meetic-partners.com
metaffiliation.com
metrigo.com
microsoft.com
mozilla.org
msn.com
mydirtyhobby.com
myspace.com
nuggad.net
o2online.de
openx.net
outbrain.com
pc-magazin.de
popads.net
privatamateure.com
pubmatic.com
qservz.com
revsci.net
scorecardresearch.com
sensic.net
serving-sys.com
stargames.com
steganos.com
stern.de
t4ft.de
truecrypt.org
turn.com
twitter.com
vindicosuite.com
vtracy.de
w55c.net
yahoo.com
yieldlab.net
your-pics.net</code></pre>



<p class="wp-block-paragraph">Auch hier zeigen sich deutlich mehr Einträge. Die einfach zugänglichen Informationen im Firefox Browser selbst sind somit eine unvollständige Quelle. Erst die Auswertung über die Datenbank hat uns alle Informationen geliefert.</p>



<p class="wp-block-paragraph">Welche Websites wurden am häufigsten besucht?</p>



<p class="wp-block-paragraph">Diese Fragestellung wurde oben bereits implizit beantwortet. Die am Häufigsten aufgerufene Seiten sind&nbsp;<em>https://bay181.mail.live.com/default.aspx?id=64855</em>&nbsp;und&nbsp;<em>http://goldesel.to/</em>.</p>



<p class="wp-block-paragraph">Welche URLs wurden in der Adressleiste eingegeben?</p>



<p class="wp-block-paragraph">Wir betrachten zunächst die Ausgabe der Adressleiste. Im folgenden Schritt beziehen wir diese Informationen aus der Datenbank und gleichen sie miteinander ab.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c53e92&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c53e92" class="wp-block-image size-full wp-lightbox-container"><img decoding="async" width="834" height="396" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bar.png" alt="" class="wp-image-2865" title="Zugriff auf die Eingaben in der Adressleiste" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bar.png 834w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bar-300x142.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bar-768x365.png 768w" sizes="(max-width: 834px) 100vw, 834px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Zugriff auf die Eingaben in der Adressleiste</figcaption></figure>



<p class="wp-block-paragraph">Wir erhalten die gleichen Informationen, wenn wir die entsprechende SQL-Anfrage an die&nbsp;<em>main.db</em>&nbsp;stellen. Der Parameter&nbsp;<code>typed=1</code>&nbsp;definiert, dass die Einträge in der Adressleiste eingegeben wurden.</p>



<pre class="wp-block-code"><code>sqlite&gt; select url from moz_places as p where typed=1;
http:&#47;&#47;outlook.com/
http://outlook.de/
http://goldesel.to/
http://3dl.tv/
http://google.de/
http://bka.de/
http://stern.de/</code></pre>



<p class="wp-block-paragraph">Für welche Webseits wurden vom Benutzer Lesezeichen gesetzt?</p>



<p class="wp-block-paragraph">In der Bibliothek des Firefox werden uns direkt einige Einträge unter dem Lesezeichenordner&nbsp;<em>Meistbesucht</em>&nbsp;angezeigt.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c543af&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c543af" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="809" height="328" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bibliothek.png" alt="" class="wp-image-2866" title="Lesezeichen in der Bibliothek" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bibliothek.png 809w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bibliothek-300x122.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bibliothek-768x311.png 768w" sizes="auto, (max-width: 809px) 100vw, 809px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Lesezeichen in der Bibliothek</figcaption></figure>



<pre class="wp-block-code"><code>Meistbesucht (31.03.2014)
	file:///usr/share/kali-defaults/web/homepage.html
	http:&#47;&#47;goldesel.to/
	https://bay181.mail.live.com/default.aspx?id=64855
	http://de.msn.com/?ocid=mailsignout
	https://signout.live.com/content/dam/imp/surfaces/mail_signout/v7/mail/de-de.html
	http://3dl.tv/
	https://www.google.de/
	https://login.live.com/
	https://login.live.com/login.srf?wa=wsignin1.0&ct=1396258049&rver=6.1.6206.0&sa=1&ntprob=-1&wp=MBI_SSL_SHARED&wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&id=64855&snsc=1&cbcxt=mail
	http://www.truecrypt.org/downloads
Bookmarks Menu (31.03.2014)
	http://goldesel.to/
Bookmarks Toolbar (31.03.2014)
	https://www.mozilla.org/de/firefox/central/</code></pre>



<p class="wp-block-paragraph">Ein Blick in die Backups zeigt, dass es eine ältere Sicherungskopie gibt. Wenn wir diese exportieren, werden alle aktuellen Bookmarks durch das Backup vollständig entfernt und ersetzt.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c54816&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c54816" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="534" height="192" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-restore.png" alt="" class="wp-image-2867" title="Wiederherstellung von Lesezeichen aus dem Backup" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-restore.png 534w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-restore-300x108.png 300w" sizes="auto, (max-width: 534px) 100vw, 534px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Wiederherstellung von Lesezeichen aus dem Backup</figcaption></figure>



<p class="wp-block-paragraph">Neu hinzugekommen bzw. wiederhergestellt wurde der Lesezeichenordner&nbsp;<em>Mozilla Firefox</em>. Die restlichen Lesezeichen sind identisch.</p>



<pre class="wp-block-code"><code>Mozilla Firefox (30.03.2014)
	https:&#47;&#47;www.mozilla.org/de/firefox/help/
	https://www.mozilla.org/de/firefox/customize/
	https://www.mozilla.org/de/contribute/
	https://www.mozilla.org/de/about/</code></pre>



<p class="wp-block-paragraph">Wir könnten diese Lesezeichen ganz komfortabel kopieren und einfügen. Es ist jedoch Vorsicht an dieser Stelle geboten, da es sich bei den Einträgen unter&nbsp;<em>Meistbesucht</em>&nbsp;um keine Lesezeichen im eigentlichen Sinne handelt. Es sind nur Verweise auf Einträge in der History. Eine sehr präzise Ausgabe der tatsächlichen Lesezeichen erhalten wir über die&nbsp;<em>places.sqlite</em>-Datenbank.</p>



<pre class="wp-block-code"><code>sqlite&gt; select p.url from moz_places as p, moz_bookmarks as b where b.fk=p.id;
https:&#47;&#47;www.mozilla.org/de/firefox/central/
place:sort=8&amp;maxResults=10
place:folder=BOOKMARKS_MENU&amp;folder=UNFILED_BOOKMARKS&amp;folder=TOOLBAR&amp;queryType=1&amp;sort=12&amp;maxResults=10&amp;excludeQueries=1
place:type=6&amp;sort=14&amp;maxResults=10
http://goldesel.to/</code></pre>



<p class="wp-block-paragraph">Es gibt daher nur die zwei Lesezeichen&nbsp;<em>mozilla.org</em>&nbsp;und&nbsp;<em>goldesel.to</em>.</p>



<p class="wp-block-paragraph">Welche Website wurde zuletzt besucht?</p>



<p class="wp-block-paragraph">Wir holen uns diese Information zunächst aus der Bibliothek des Browsers. Wir sortieren dafür absteigend nach dem&nbsp;<em>Most Recent Visit</em>-Feld.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c54dd8&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c54dd8" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="474" height="49" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150526-cofo-mostrecent.png" alt="" class="wp-image-2868" title="Die zuletzt besuchte Website" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150526-cofo-mostrecent.png 474w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150526-cofo-mostrecent-300x31.png 300w" sizes="auto, (max-width: 474px) 100vw, 474px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Die zuletzt besuchte Website</figcaption></figure>



<p class="wp-block-paragraph">Wollen wir die Information wieder aus der Datenbank beziehen, führen wir den folgenden Befehl aus. Die Tabellen müssen an den Feldern&nbsp;<code>h.place_id</code>&nbsp;und&nbsp;<code>p.id</code>&nbsp;verbunden werden, da die Informationen in der Tabelle&nbsp;<code>moz_historyvisits</code>&nbsp;keine Informationen über die URLs enthalten.</p>



<pre class="wp-block-code"><code>sqlite&gt; select distinct  h.visit_date,p.url from moz_historyvisits as h, moz_places as p where h.place_id = p.id order by visit_date desc;
1396279643062000|https://login.live.com/login.srf?wa=wsignin1.0&amp;ct=1396258049&amp;rver=6.1.6206.0&amp;sa=1&amp;ntprob=-1&amp;wp=MBI_SSL_SHARED&amp;wreply=https:%2F%2Fmail.live.com%2F%3Fowa%3D1%26owasuffix%3Dowa%252f&amp;id=64855&amp;snsc=1&amp;cbcxt=mail</code></pre>



<p class="wp-block-paragraph">Die Zahl ist ein dezimaler Unix-Zeitstempel. Wir lassen uns diesen auf&nbsp;<em>epochconverter.com</em>&nbsp;(<a href="http://www.epochconverter.com/">Link</a>) in einen lesbaren Datumswert konvertieren.</p>



<pre class="wp-block-code"><code>1396279643062000:
GMT: Mon, 31 Mar 2014 15:27:23 GMT
Your time zone: Mo 31 Mär 2014 17:27:23 CEST GMT+2:00 DST</code></pre>



<p class="wp-block-paragraph">Die Ausgabe enthält im Gegensatz zum Browser einen Sekundenwert und ist dadurch noch präziser. An dieser Stelle ist spätestens zu sehen, dass für forensische Untersuchungen primär die Datenbank als Informationsquelle genutzt werden sollte.</p>



<p class="wp-block-paragraph">Wurden Zugangsdaten im Browser gespeichert?</p>



<p class="wp-block-paragraph">Wir können die Zugangsdaten komfortabel im Firefox ablesen. Dadurch vermeiden wir den Einsatz von Werkzeugen bzw. Skripten von Drittanbietern.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c55450&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c55450" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="455" height="49" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-login.png" alt="" class="wp-image-2869" title="Gespeicherte Zugangsdaten im Firefox" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-login.png 455w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-login-300x32.png 300w" sizes="auto, (max-width: 455px) 100vw, 455px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Gespeicherte Zugangsdaten im Firefox</figcaption></figure>



<p class="wp-block-paragraph">Da wir die Zugangsdaten an späterer Stelle nochmals benötigen, halten wir sie nun tabellarisch als Text fest.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><th>URL</th><th>Login</th><th>Passwort</th></tr></thead><tbody><tr><td>https://login.live.com/</td><td>fbi_forensik@outlook.de</td><td>_1a[M6Qa</td></tr></tbody></table></figure>



<h4 class="wp-block-heading">Skype</h4>



<p class="wp-block-paragraph">Wo müssen wir nach Dateien suchen?</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">On a Windows PC, most of these artifacts can be found in the main.db file located at&nbsp;<code>ROOT\Users\%userprofile%\AppData\Roaming\Skype\%SkypeName%\main.db</code>&nbsp;or&nbsp;<code>ROOT\Documents and Settings\%userprofile%\Application Data\Skype\%SkypeName%\</code>&nbsp;for Windows XP installations.http://www.magnetforensics.com/wp-content/uploads/2014/04/Skype-Forensics-Analyzing-Call-and-Chat-Data-From-Computers-and-Mobile-Magnet-Forensics.pdf</p>
</blockquote>



<p class="wp-block-paragraph">Skype speichert seine Daten in der Datenbank&nbsp;<em>main.db</em>&nbsp;ab. Wir werten für die folgenden Aufgaben ausschließlich diese Datei aus.</p>



<p class="wp-block-paragraph">Welcher Account wird vom Anwender genutzt?</p>



<pre class="wp-block-code"><code>sqlite&gt; select id, liveid_membername, skypename, fullname,emails from accounts;
1|dasec@outlook.de|live:dasec_1|dasec hda|dasec@outlook.de
</code></pre>



<p class="wp-block-paragraph">Es gibt nur einen eingerichteten Benutzer, dessen Benutzername lautet&nbsp;<em>dasec_1</em>.</p>



<p class="wp-block-paragraph">Welche Kontakte sind gespeichert?</p>



<pre class="wp-block-code"><code>sqlite&gt; select skypename, fullname,lastonline_timestamp from contacts;
echo123|Echo / Sound Test Service|
brion.weg|Franz Müller|1396200382
live:dasec_1|dasec hda|
</code></pre>



<p class="wp-block-paragraph">Der Benutzer hat einen externen Kontakt namens&nbsp;<em>Franz Müller</em>&nbsp;mit dem Benutzernamen&nbsp;<em>brion.weg</em>. Der Benutzer&nbsp;<em>echo123</em>&nbsp;ist ein Service Account von Skype und dient als Kontakt für Testanrufe. Lediglich der Kontakt&nbsp;<em>brion.weg</em>&nbsp;besitzt einen auswertbaren Zeitstempel in der Datenbank bezüglich der letzten Aktivität.</p>



<p class="wp-block-paragraph">Sind Profilbilder gespeichert?</p>



<pre class="wp-block-code"><code>sqlite&gt; select skypename,hex(avatar_image),hex(profile_attachments) from Contacts;
echo123|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|
brion.weg||
live:dasec_1|00FFD8FFE000104A46494600010100000100010000FFDB0043000302020302020303030304030304050805050404050A070706080C0A0C0C0B0A0B0B0D0E12100D0E110E0B0B1016101113141515150C0F171816141812141514FFDB00430103040405040509050509140D0B0D1414141414141414141414141414141414141414141414141414141414141414141414141414141414141414141414141414FFC00011080060006003012200021101031101FFC4001F0000010501010101010100000000000000000102030405060708090A0BFFC400B5100002010303020403050504040000017D01020300041105122131410613516107227114328191A1082342B1C11552D1F02433627282090A161718191A25262728292A3435363738393A434445464748494A535455565758595A636465666768696A737475767778797A838485868788898A92939495969798999AA2A3A4A5A6A7A8A9AAB2B3B4B5B6B7B8B9BAC2C3C4C5C6C7C8C9CAD2D3D4D5D6D7D8D9DAE1E2E3E4E5E6E7E8E9EAF1F2F3F4F5F6F7F8F9FAFFC4001F0100030101010101010101010000000000000102030405060708090A0BFFC400B51100020102040403040705040400010277000102031104052131061241510761711322328108144291A1B1C109233352F0156272D10A162434E125F11718191A262728292A35363738393A434445464748494A535455565758595A636465666768696A737475767778797A82838485868788898A92939495969798999AA2A3A4A5A6A7A8A9AAB2B3B4B5B6B7B8B9BAC2C3C4C5C6C7C8C9CAD2D3D4D5D6D7D8D9DAE2E3E4E5E6E7E8E9EAF2F3F4F5F6F7F8F9FAFFDA000C03010002110311003F00F3EB8D35D18EE5FC7D6A8CB6786E4607AD775716418608ACABEB08921691BE50A3249E8315FA2CA3A1F9F2A97D0F963F682D7C26A56DA4062B1449E6C98EE4FF00F5BF9D78EB5D1B8B765B484C8A38181C8AE9BE326B83C45E25BEBF8D8985A4D917BA8E01FC719FC6B4FE0BF876DF51B6BBBCBC6096B0BE64663D07F8935F0F5E6EAD5958FB6A2BD9D189E73762EA354492268D7764061D6AAB798ED9C671ED5F465E788B46D36390AE90186324CF63976FA6E53FD2B43C05E34F01789F515B1BAD26C3CF6F97C8BC816D64739E88C09427D8904F6A9F65CAF563F6ADEA91F34B48C3CC93FBC815BF13516CE578238C735FA2367F00FE1F6A3A6AC90E830B40C72F0B028CA7D187518F4A66ADF087C05A45ABDD4BE1DD32348572D3DCC7958D7BF19C66B6F612B5EE737D723B599F06787FC3979AEF98D15A4B381F2EE4524673505D68D3E953B43716EF11C8037A953D7DEBEC8D3FE34FC33F0524B61A2E86DAAC45F12FD8220413FF007D22FA7426AE6A975F0BBE3269A2D6F740BAF0C5EB0D96F7B22796A1BB6583B2FF00DF58F6269AA29ABA96A2789927AC5D8F89ECC34328CA9183915F65FC30D5CEB1E07D3266606548FCA7FAAF1FCABE5AF885E139FC01E35B9D16EC7CF0E0865E8C39C1FA11CD7B67ECFBAD9B9D3B50B266FF0056C9322FB1183FC87E75D3809B856E57D48C64554A3CFD8FA9A7B7CF406BCD3E38F883FE115F005FCA8765C5CFFA3C473CE5BA91F866BD7E5B72173D6BE5CFDAE75823FB234D0DC16798807A63007F335F498DA9ECB0F2923E67050F6B5E313E5ED7A51341276DA41EB5EFFF00B2ADB692341BCB8D44AB3A4DBE38DF90719E7F0FEB5F3B6A12F9EB7240039181F415F49FEC99F0C6EFE246857510BE6D32D526282E1230EC5BA9001AF8AC3A93A89455D9F655ECA9BBBB23D535ED6741BEDEB70B69E5636FEF36FF005AF12F899F0AAC3528DF51D1CC65540626160DB7FF00AD5D1FC47FD8EB5CD3F5693C8D56EF5125B3E68911C01DB2B9523F2AC5D07F665F1869F3A94D62680E70148DBFD4D74D5F6ADF2CA1A9CD4BD9C527199ECFFB3378C6EF55F028D3354BC5B9D52CE530A1049630E06C0C48E48E40CE78C7354BF695F00F88BC711E89A7DBEA8BA6E94EECD756B86DF3B71B5B03A8033D48009AEEFE0D7C374F0EDC9F3547DA02E64603F8B806BD57E29782EE75CD11EF34E23FB560B7DB6CD226E5CFFB42BA9D19C68D99C12AB08D7E689F3E7C2AF831E1FF00085AC22745B895482D25C10493FC87D062BDF2C7C33E19D73476B2B9D2ECEE6DA55C1531A90057C71E25FD9FBE29788AF84BA8F882E666CF0B16E541FF007CB577DF07FF0067CF897E10D445E278ACB5A632F69748CEADF425B22B0A559C74502ABD253F7BDA6A7847ED7DE1B4F08FC5882CE29DAE204B28BCA776DCDB32DB549EE428033F4A83E066A874EF13AC7D05C5B98CFA70723F9552FDAA3FB657E2B4D16B7B0DE471A8DD167632F6C67B566F806E1ACF5BB5993AA85207E3CD611972D6E7B5B53D28C5CB0EA2DDF43F47A58F0AC31C81DEBE21FDAB2FFCCF882900E561B5033E849FFEB7EB5F775F2072BC7D6BE05FDA8D7FE2E6DDFA0887F5AFA6CD35C3E9D5A3E5F2AFF78F933C0CB8226DC7A0E7EBCD7D71FB2178E62F0E7C3BBD8A3745BA8AE99B19E7040E6BE45560C9360753FA5761F0B357BDB696EEDACE52B2B2F9BB33F7C0EA3F2AF93A5374A7CC8FB09C14E3667DAC3E2ADCEB3AB48F2E5431E4935DDE91E25B269ADD490F21230ABC926BE38F08F8DEFF00C41AC43A4DB2C715E3A798867E0328EA463AF7E3D8FA57D0DE15D3F52F0C593EAC0AEA7ABC51930C6E76C7BB1DBD3EB5E9E1AB54949BDD1C78F549C5724796C7D05A1D8AC6F7133A2C6EC3941DB2457731471DD58AF992A449B71BD8F15F0C5E7ED5DACE877D6F6BE23D3E0D32E25933B239480573C124F4FC78AFA5FC1BF16356F1ADA582F87FC3B16B908654BB921BC50D092A4A9DB821C119E41C70457A9F58855F755EFE87CF54C3548479E4755A959C36E73F6A8064641C9C5645A6AB6516A2219753551B4E3CB52C377A76C55FF1FF00C3DBF16AD79A248B05C6DDD2D95D12B1B9FF0061BF84FD78FA57CD5A97C638747D66FB4C6B66FED8B490C12C40860921C8C6E1C763DF3C57256AAE8E92563AF0AA328376B9E19FB6BBC173F1A03C2CAE3ECA81997D735C0785098AE607CF400FE19AAFF15B58B9D7FE21EA12DDBEF9E3C2B107807AE3F51F954FE178D9E78D0F42847EB5E2CA5CD272EE7D0D08DA0A27E991759031CE715F0B7ED6B69F65F1EC8E7F8A1CFEA6BEF496DC22B718C900D7C41FB655B85F168917A18F611DC1EBFD6BEC333A76C37A1F1994CEF8AF91F2D5AA931C87B66AC786F576D075EB4BB5C8113FCD8EEA782292D57F70E074CD67CABB581CF3DEBE19BEA7DD1F41AF855B597B28B47BB4B0D6A16FB668F7AEC15250DCBC2CDD8E7A67D71DEB62EBE317C5BF06C4D6BAA68966AC995135C401493EBD403F5C572BF082F93C4BA5AE852CBB2EE33E6D8CC7AEE00E573F8D7B9F87F53F15DA5908ECB547431655ED6E137ED61D473835DD45BB7BADA386A72B769AB9E0FE05B0D2BC63E39B9D6FE24EB11F9272C2024B995C8E33B3202AFA71D076CD773F0EBE2EDFFC06F1C4C7C39AAA6ADA34608B49E160EDE5B11FBA9232416031D38E80822BA3F177C52F117C3C582FF58B786EAD6697CA0F6D6B921B19C105C75C1C7D2BD93E0F78A357F889A145AC41E1F82D2CDA42B1B6A569B1A4DA70594073C678C9C74AD29B9A9D9377EE4D654DD3BCB6EC739AEFED2BF1AFE2BE8DF62F0DF84E3B233298C6B290B44235FEF2B3BED56C771923B735C66A1E11B3F07688963E625DB690A6FB53BF007EFEF1C6D0ABEC06401D862BE88F15DF6A50D88B35F244F31F2D2DED936024FE671EB5F33FC6ED72DFC31A4DCE9692AC9E466E2F26040F367C7CA9F8123F4AD31177772773828F2DF969AB1F2EEA17526A3E20D46E1CEE696762C7F1AEBBC331B3DED9C638679027F2AE2347CCCCCEDD5DF71AF49F03C224D7F4C0D8DBF698F24F4FBC2B822AF647B97E53EFA87E22FC812EADC1FF006938CFE15F23FED5FAC5BEB9AF492C048DAFB707FDD19FE62BD3B4CF8B5E1CD6982ADDF9121E36CAB8E6BC0BE35EA96DA9EB328B7984DB657248FA003F957D6E615E12C3B5CDB9F219661E74EBF338D8F1FB48808D876C8E6B3AFA311C9F89CD6E416E42051D5BFA5636ADC5CB01CD7C6B5647D975347C21E2497C3DAADB4EB218C472070C3F84FAD7DBFF000CFC4F65E368EDAF55D3ED322059947F110300FD6BE010706BB5F873F13F53F87FA92CD0334D6D9F9E127F97A56946AAA52BF430AD4BDA474DCFA57F6BC5FEC5D2346D3A35F323BE91DCBFA32A8DA3FF001E3F957D4DFB21E96927C10D32DB53B9F3EEB4CF3ADC4910FBC836BA839EA419197FE035F05FC62F8DDA7FC4FF0009E9AAAA62D46CA7DE11B824152A47EB5EEDF0CFF6BAF0AFC28F821A6E94B7CF77ABFD9DBED16B0212EF23BB3952DD060B004FA0AF629E22946A39B3C7AD87AAE82825ADCF50F8D5E39D3BC016977A95CCEB1DD942A8EC7FD5FD07AFF5C57E76FC44F88173E36D5A59773A59072D1C4C7963FDE6F7356FE2BFC5CD6BE2BEBF2DFEA527970EE3E55AA1F95076FA9F7AE10F3ED5E457ADED65E47A586C3AA3157DCDFD05FE51EB9AF47F06BEDD52D49C82B2AB01F8822BCC7432415FF7ABD13439CC1751BE71B4A9C9F6C7F85383B1D52D4DABFF001633A94B0B7B78DFFBD1A640FC6B8CBEF34BB3CEDBA490924FAD58BAD7755BD1E544B0DB93918817E639AAF7C86D218D5F2D205C1C9C9CD124D6E3524D59188CFE4C99EA54573D76FE64CE7DEB5AF6629BB233D6B1DA301739CD60FB1488A80714118A2A063E22A1C16FBB44A46E25791EB4CA280027228A5E9494580D2D1E42B27D48AEF2CAE80B6DDD80C67D0D79CD95C7932827A575F637625B0930724AE715BAB35626DA9FFFD9|</code></pre>



<p class="wp-block-paragraph">Die Ausgabe zeigt uns, dass tatsächlich zwei Bilder für Profile in der Datenbank vorhanden sind. Wir kopieren die hexadezimalen Ausgabewerte in den folgenden&nbsp;<code>echo</code>-Befehl hinein und schreiben diese Information mittels&nbsp;<code>xxd</code>&nbsp;in neue Dateien hinein, um die Avatare zu erzeugen.</p>



<pre class="wp-block-code"><code>echo !!Platzhalter!! | xxd -r -p &gt; bild1.jpg
echo !!Platzhalter!! | xxd -r -p &gt; bild2.jpg</code></pre>



<p class="wp-block-paragraph">Werfen wir danach einen Blick auf das Dateisystem, finden wir nun die folgenden Bilder vor.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><td><img loading="lazy" decoding="async" width="150" height="150" class="wp-image-2870" style="width: 150px;" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bild1.jpg" alt="" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bild1.jpg 160w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bild1-150x150.jpg 150w" sizes="auto, (max-width: 150px) 100vw, 150px" /><br>Avatar von echo123</td><td><img loading="lazy" decoding="async" width="96" height="96" class="wp-image-2871" style="width: 96px;" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150624-cofo-bild2.jpg" alt=""><br>Avatar von dasec_1</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Es ist uns gelungen alle gespeicherten Avatare aus der Datenbank erfolgreich zu rekonstruieren.</p>



<p class="wp-block-paragraph">Wann waren diese Konakte zuletzt online?</p>



<p class="wp-block-paragraph">Bei dem zuvor erhobenen Datumswert handelt es sich erneut um einen Unix-Zeitstempel. Wir konvertieren ihn wie zuvor über&nbsp;<em>epochconverter.com</em>.</p>



<pre class="wp-block-code"><code>1396200382:
GMT: Sun, 30 Mar 2014 17:26:22 GMT
Your time zone: 30.3.2014, 19:26:22 GMT+2:00 DST</code></pre>



<p class="wp-block-paragraph">Der Kontakt&nbsp;<em>brion.weg</em>&nbsp;war somit zuletzt am 30.03.2014 um 19:16:22 Uhr online.</p>



<p class="wp-block-paragraph">Wurden Anrufe getätigt? Wenn ja, mit wem und wie lange?</p>



<pre class="wp-block-code"><code>sqlite&gt; select id, duration, current_video_audience from calls;
38|24|brion.weg </code></pre>



<p class="wp-block-paragraph">Ja es wurde ein Anruf mit&nbsp;<em>brion.weg</em>&nbsp;getätigt. Die Anrufdauer ist in Sekunden gespeichert und beträgt somit 24 Sekunden. Die Dauer des Anrufs wird ebenfalls im Chatverlauf abgelegt, wie in der nächsten Teilaufgabe zu sehen ist.</p>



<p class="wp-block-paragraph">Wurde der Chat verwendet? Welche Informationen können Sie hieraus ermitteln?</p>



<pre class="wp-block-code"><code>sqlite&gt; select convo_id, author, body_xml from messages;
24|brion.weg|Hallo dasec hda, ich möchte Sie als Kontakt aufnehmen. Franz Müller
24|live:dasec_1|
24|live:dasec_1|Hallo Franzel. Hast du was fuer mich?
24|brion.weg|Was möchtest Du denn  haben?
24|live:dasec_1|Das uebliche
24|brion.weg|Das besprechen wir lieber per Sprachchat
24|live:dasec_1|ok
24|live:dasec_1|&lt;partlist alt=""&gt;
  &lt;part identity="live:dasec_1"&gt;
    &lt;name&gt;dasec hda&lt;/name&gt;
    &lt;duration&gt;24&lt;/duration&gt;
  &lt;/part&gt;
  &lt;part identity="brion.weg"&gt;
    &lt;name&gt;Franz Müller&lt;/name&gt;
    &lt;duration&gt;24&lt;/duration&gt;
  &lt;/part&gt;
&lt;/partlist&gt;
24|live:dasec_1|&lt;partlist alt=""&gt;
  &lt;part identity="live:dasec_1"&gt;
    &lt;name&gt;dasec hda&lt;/name&gt;
    &lt;duration&gt;24&lt;/duration&gt;
  &lt;/part&gt;
  &lt;part identity="brion.weg"&gt;
    &lt;name&gt;Franz Müller&lt;/name&gt;
    &lt;duration&gt;24&lt;/duration&gt;
  &lt;/part&gt;
&lt;/partlist&gt;
24|brion.weg|Alles abgemacht. ich sende Dir das Paket auf deine emailadresse. Wie immer versteckt. Ein Gruß von Steganos Hide
24|live:dasec_1|Danke Dir Bye</code></pre>



<p class="wp-block-paragraph">Der vorhandene Chat zeigt auf, dass in dem zuvor sichergestellten E-Mail-Postfach vermutlich weitere relevante Informationen zu finden sind.</p>



<h3 class="wp-block-heading">Freie Suche</h3>



<p class="wp-block-paragraph">Suchen Sie nach versteckten Informationen. Folgen Sie auch Spuren, die das Image verlassen.</p>



<p class="wp-block-paragraph">Zugriff auf das E-Mail-Postfach</p>



<p class="wp-block-paragraph">Wir rufen die Seite der gespeicherten Zugangsdaten auf und loggen uns ein. Wir untersuchen die E-Mails anhand der Absender und der Inhalte, ob sie das angesprochene&nbsp;<em>Paket</em>&nbsp;aus dem Chatverlauf enthalten.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c562d8&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c562d8" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="1032" height="670" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-email.png" alt="" class="wp-image-2872" title="E-Mail" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-email.png 1032w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-email-300x195.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-email-1024x665.png 1024w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-email-768x499.png 768w" sizes="auto, (max-width: 1032px) 100vw, 1032px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">E-Mail</figcaption></figure>



<p class="wp-block-paragraph">An dieser Stelle finden wir eine Bilddatei, die uns zunächst keine verwertbaren Informationen liefert. Im Posteingang sind jedoch weitere E-Mails bezüglich einer Software von Steganos zu finden, die es erlaubt Informationen verschlüsselt in Bilder einzubetten. Ein Zugriff auf diese Informationen ist nur mithilfe eines Passworts möglich. Wir suchen also im nächsten Schritt das geheime Passwort für die Ent- bzw. Verschlüsselung. Zum Einsatz kommt dabei&nbsp;<code>fls</code>&nbsp;mit dem wir das Abbild der Partition nach einer Datei mit einem passenden Namen durchsuchen.</p>



<pre class="wp-block-code"><code>$ fls -f ntfs -r partition_1.dd | grep Steg
++++ d/d 13015-144-6:	Steganos Privacy Suite 15
+++++ r/r 13016-128-4:	Steganos Privacy Suite 15 Help.lnk
+++++ r/r 13017-128-4:	Uninstall Steganos Privacy Suite 15.lnk
+++ d/d 12919-144-5:	Steganos
++ d/d 12979-144-1:	Steganos
+ d/d 12955-144-7:	Steganos Privacy Suite 15
++ r/r 13070-128-4:	SteganosUpdater.exe
++ r/r 13009-128-4:	SteganosUpdater.res
++ r/r 13601-128-4:	SteganosBrowserMonitor.exe
++ r/r 3832-128-4:	SteganosHotKeyService.exe
++ r/r 12962-128-4:	SteganosUI.res
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos</code></pre>



<p class="wp-block-paragraph">Wir finden einen&nbsp;<em>Alternativen Datenstrom (ADS)</em>&nbsp;an der Datei&nbsp;<em>Edoofy.jpeg</em>, den wir uns genauer ansehen.</p>



<pre class="wp-block-code"><code>$ icat partition_1.dd 7821-128-5
"W)5S_DXitLN"</code></pre>



<p class="wp-block-paragraph">Das Passwort nutzen wir zusammen mit der installierten Steganos Software, die wir über die Laufzeitumgebung&nbsp;<code>Wine</code>&nbsp;starten. In der folgenden Abbildung sind die gefundenen Dateien abgebildet.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c56952&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c56952" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="1504" height="590" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-steganos.png" alt="" class="wp-image-2873" title="Dateien im Steganos-Safe" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-steganos.png 1504w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-steganos-300x118.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-steganos-1024x402.png 1024w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-steganos-768x301.png 768w" sizes="auto, (max-width: 1504px) 100vw, 1504px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Dateien im Steganos-Safe</figcaption></figure>



<p class="wp-block-paragraph">Wir haben somit drei Bilder und eine Textdatei in dem Steganos-Safe gefunden.</p>



<p class="wp-block-paragraph">Gefundenes TrueCrypt-Passwort</p>



<p class="wp-block-paragraph">Im dritten Praktikum hatten wir ein TrueCrypt-Passwort in einem nicht-allozierten Bereich gefunden.</p>



<pre class="wp-block-code"><code>$ strings unallocated_2.dd 
Truecrypt Passwort: 7kE5v-&lt;Y_qYF:7Y</code></pre>



<p class="wp-block-paragraph">Wir suchen nun nach dem passendem Container mittels&nbsp;<code>find</code>. Zunächst suchen wir nach Dateien, welche die Zeichenkette &#8222;true&#8220; in ihrem Dateinamen verwenden.</p>



<pre class="wp-block-code"><code>$ find -iname *true*
./Documents and Settings/All Users/Desktop/TrueCrypt.lnk
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/TrueCrypt Website.url
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/TrueCrypt.lnk
./Documents and Settings/All Users/Start Menu/Programs/TrueCrypt/Uninstall TrueCrypt.lnk
./Documents and Settings/Owner/Favorites/Downloads/Programs/TrueCrypt - Free Open-Source Disk Encryption.url
./Documents and Settings/Owner/Local Settings/My Documents/Downloads/TrueCrypt Setup 7.1a.exe
./Documents and Settings/Owner/Local Settings/My Documents/truecrypt-container
./Program Files/TrueCrypt
./Program Files/TrueCrypt/TrueCrypt Format.exe
./Program Files/TrueCrypt/TrueCrypt Setup.exe
./Program Files/TrueCrypt/TrueCrypt User Guide.pdf
./Program Files/TrueCrypt/truecrypt-x64.sys
./Program Files/TrueCrypt/TrueCrypt.exe
./Program Files/TrueCrypt/truecrypt.sys
./WINDOWS/system32/drivers/truecrypt.sys</code></pre>



<p class="wp-block-paragraph">Wir haben den gesuchten Container bereits mit diesem Verfahren gefunden. Ein ebenfalls praktikabler Ansatz ist eine Suche über die Dateigröße. Wir suchen nun nach allen Dateien, die größer als 20 Megabyte sind.</p>



<pre class="wp-block-code"><code>$ find  -size +20M
./Documents and Settings/All Users/Application Data/Skype/{7A3C7E05-EE37-47D6-99E1-2EB05A3DA3F7}/Skype.msi
./Documents and Settings/Owner/Local Settings/My Documents/Downloads/sss15int.exe
./Documents and Settings/Owner/Local Settings/My Documents/truecrypt-container
./Documents and Settings/Owner/Local Settings/Temp/Skype.msi
./pagefile.sys
./Program Files/Mozilla Firefox/xul.dll
./WINDOWS/Driver Cache/i386/driver.cab
./WINDOWS/SoftwareDistribution/Download/0de4390649d19bd073825763d839441a37dda551
./WINDOWS/Installer/4442e.msp
./WINDOWS/Installer/MSIEE.tmp</code></pre>



<p class="wp-block-paragraph">Wir mounten die Datei&nbsp;<em>truecrypt-container</em>&nbsp;in TrueCrypt und entschlüsseln diese mit dem gefundenen Passwort. In der folgenden Abbildung sind die gefundenen Dateien abgebildet.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c56eb2&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c56eb2" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="1285" height="659" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-truecrypt.png" alt="" class="wp-image-2874" title="Dateien im TrueCrypt-Container" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-truecrypt.png 1285w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-truecrypt-300x154.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-truecrypt-1024x525.png 1024w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150625-cofo-truecrypt-768x394.png 768w" sizes="auto, (max-width: 1285px) 100vw, 1285px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Dateien im TrueCrypt-Container</figcaption></figure>



<p class="wp-block-paragraph">Wir haben somit drei Bilder und ein Video in dem TrueCrypt-Container gefunden.</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-praktikum-5/">Computer Forensik (Praktikum 5)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-praktikum-5/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 16)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-16/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-16/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Tue, 23 Jun 2015 09:00:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2828</guid>

					<description><![CDATA[<p>Die Sicherung des Arbeitsspeichers ist von enormer Bedeutung für die forensische Analyse. Sie ermöglicht die Sicherstellung von Passwörtern und Informationen zu aktuell laufenden Prozessen, aktiver&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-16/">Computer Forensik (Vorlesung 16)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Die Sicherung des Arbeitsspeichers ist von enormer Bedeutung für die forensische Analyse. Sie ermöglicht die Sicherstellung von Passwörtern und Informationen zu aktuell laufenden Prozessen, aktiver Schadsoftware und Netzwerkverbindungen. In der heutigen Vorlesung diskutieren wir die Anforderungen und Methoden zur Sicherung des Arbeitsspeichers.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Kapitel 7 &#8211; Seite 113</td></tr><tr><th>Skript-Ende</th><td>Kapitel 7 &#8211; Seite 132</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">RAM Sicherung</h3>



<p class="wp-block-paragraph">Welche Anforderungen werden an die RAM-Sicherung gestellt?</p>



<ul class="wp-block-list">
<li>Der komplette phyikalische Speicher muss enthalten sein (<em>Vollständigkeit</em>)</li>



<li>Die Struktur des Arbeitsspeichers und seiner Daten muss erhalten bleiben (<em>Strukturerhaltung</em>)</li>



<li>Unverändertheit im Hinblick auf einen gegebenen Zeitpunkt Τ (<em>Integrität</em>), der sich so nah wie möglich an der Beschlagnahme befindet</li>



<li>Gesichertes Speicherabbild entspricht dem physischen Speicher (<em>Korrektheit</em>) und wurde nicht durch Soft- bzw. Malware manipuliert</li>



<li>Sicherung geschieht in einer atomaren Leseoperation ohne Unterbrechung (<em>Atomarität</em>)</li>



<li>Das System muss nicht speziell präpariert werden, damit der RAM gesichert werden kann (<em>Verfügbarkeit</em>)</li>
</ul>



<p class="wp-block-paragraph">Welche Methoden zur RAM-Sicherung gibt es?</p>



<ul class="wp-block-list">
<li><em>Cold Boot</em>: Sehr hohe Atomarität, gute Verfügbarkeit</li>



<li><em>Direct Memory Access (DMA) / FireWire</em>: Hohe Atomarität, mittelmäßige Verfügbarkeit</li>



<li><em>Software zur Sicherung mithilfe des Host-Betriebssystems im Kernel Mode</em>: Hohe Atomarität, hohe Verfügbarkeit</li>



<li><em>Suspend Mode</em>: Legt hybernation-Datei hiberfil.sys (<em>unter Windows</em>) an</li>
</ul>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-16/">Computer Forensik (Vorlesung 16)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-16/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 15)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-15/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-15/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 22 Jun 2015 09:01:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2830</guid>

					<description><![CDATA[<p>In der heutigen Vorlesung besprechen wir Vorgehens- bzw. Prozessmodelle. Modelle haben die Erleichterung und Strukturierung einer IT-forensischen Untersuchung durch Aufteilung in logisch zusammenhängende Untersuchungsabschnitte als&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-15/">Computer Forensik (Vorlesung 15)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">In der heutigen Vorlesung besprechen wir Vorgehens- bzw. Prozessmodelle. Modelle haben die Erleichterung und Strukturierung einer IT-forensischen Untersuchung durch Aufteilung in logisch zusammenhängende Untersuchungsabschnitte als Ziel. Das Beachten eines solchen Modells hat den Vorteil der vereinfachten Uberprüfung von zu erreichenden Zielen. Die Quelle hierzu ist der BSI Leitfaden &#8222;IT-Forensik&#8220; (<a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/Leitfaden_IT-Forensik_pdf.pdf?__blob=publicationFile">Link</a>).</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Kapitel 6 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Kapitel 6 &#8211; Seite 17</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">Überschrift</h3>



<p class="wp-block-paragraph">Wie ist das BSI-Vorgehensmodell aufgebaut?</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a48350c59b38&quot;}" data-wp-interactive="core/image" data-wp-key="6a48350c59b38" class="wp-block-image size-full wp-lightbox-container"><img loading="lazy" decoding="async" width="1332" height="596" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150627-cofo-bsi.png" alt="" class="wp-image-2831" title="Forensischer Prozess im Zusammenspiel mit forensischer Datenquelle" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/06/20150627-cofo-bsi.png 1332w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150627-cofo-bsi-300x134.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150627-cofo-bsi-1024x458.png 1024w, https://maximiliankrieg.de/wp-content/uploads/2026/06/20150627-cofo-bsi-768x344.png 768w" sizes="auto, (max-width: 1332px) 100vw, 1332px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Forensischer Prozess im Zusammenspiel mit forensischer Datenquelle</figcaption></figure>



<p class="wp-block-paragraph">Es handelt sich bei dieser Abbildung um die Vereinigung aus Vorgehensmodell und forensischer Datenquelle. Im ursprünglichen Vorgehensmodell steht im Zentrum die&nbsp;<em>Dokumentationsfunktion (DO)</em>. Beide Modelle haben ihre Richtigkeit. In dieser Version liegt die Emphase auf der Notwendigkeit der&nbsp;<em>Forensischen Datenquelle (FD)</em>, deren Daten zunächst extrahiert werden können müssen.</p>



<p class="wp-block-paragraph">Wo ist der Unterschied zwischen den Phasen&nbsp;<em>Untersuchung</em>&nbsp;und&nbsp;<em>Datenanalyse</em>?</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">An die Datensammlung schließt sich die Untersuchung an. Die Aufgabe dieses Arbeitsschrittes ist es, aus den nun gesammelten Datenquellen für die Untersuchung interessante Daten zu extrahieren. Dies schließt auch die &#8222;Übersetzung&#8220; von Daten in andere Formate ein, wie beispielsweise das Entpacken von Archiven oder das Einbinden eines Festplattenabbildes der zu untersuchenden IT-Komponente.BSI Leitfaden &#8222;IT-Forensik&#8220;, Seite 90</p>
</blockquote>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">In den meisten Fällen ist eine weitergehende Analyse der einzelnen Untersuchungsergebnisse notwendig. In diesem Abschnitt könnte es zum Beispiel dazu kommen, dass zwei zuvor extrahierte Log-Abschnitte korreliert werden, um einen gemeinsamen Zeitstrahl zu ermitteln. Generell finden in diesem Abschnitt Methoden Anwendung, die mehrere Datenquellen zueinander ins Verhältnis setzen.BSI Leitfaden &#8222;IT-Forensik&#8220;, Seite 91</p>
</blockquote>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-15/">Computer Forensik (Vorlesung 15)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-15/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 14)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-14/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-14/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 15 Jun 2015 08:38:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2790</guid>

					<description><![CDATA[<p>Wir führen heute die Besprechung von Übung 2 fort. Thematisch wird hierbei an die Analyse des NTFS-Dateisystems angeknüpft. Skript-Anfang Übung 2 &#8211; Seite 1 Skript-Ende&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-14/">Computer Forensik (Vorlesung 14)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Wir führen heute die Besprechung von Übung 2 fort. Thematisch wird hierbei an die Analyse des NTFS-Dateisystems angeknüpft.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Übung 2 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Übung 2 &#8211; Seite 1</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">Besprechung der Übung</h3>



<p class="wp-block-paragraph">Finden Sie die MFT Entry Number (<em>d.h. die Inode-Nummer</em>) der Datei watermark.bmp. Wie lautet ihre Sequence Number?</p>



<p class="wp-block-paragraph">Wir durchsuchen das Image mit&nbsp;<code>fls</code>&nbsp;und filtern die Ausgabe mit&nbsp;<code>grep</code>&nbsp;nach dem Dateinamen.</p>



<pre class="wp-block-code"><code>$ fls -r workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd | grep watermark.bmp
+ r/r 46-128-4:	watermark.bmp</code></pre>



<p class="wp-block-paragraph">Aus dem Rückgabewert können wir ablesen, dass es eine Instanz dieser Datei gibt, welche über Inode 46 adressiert wird. Über die Inode können wir mit&nbsp;<code>istat</code>&nbsp;weitere Informationen auslesen.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 46
MFT Entry Header Values:
Entry: 46        Sequence: 3
$LogFile Sequence Number: 7528758
Allocated File
Links: 2

&#91;...]</code></pre>



<p class="wp-block-paragraph">Die Sequenznummer lässt sich leicht aus dieser Ausgabe ablesen. Die Datei hat somit die Inode 46 und die Sequenznummer 3.</p>



<p class="wp-block-paragraph">Geben Sie den vollständigen Verzeichnispfad der Datei an.</p>



<p class="wp-block-paragraph">In der Ausgabe von&nbsp;<code>fls</code>&nbsp;haben wir gesehen, dass die Datei eine Hierarchiestufe unter dem Root-Verzeichnis liegt (<em>erkennbar an dem +</em>). Die Ausgabe über&nbsp;<code>istat</code>&nbsp;enthält den Hinweis auf die Inode des Parent MFT Entry. Wir geben uns diese Informationen daher nochmals aus.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 46
MFT Entry Header Values:
Entry: 46        Sequence: 3
$LogFile Sequence Number: 7528758
Allocated File
Links: 2

&#91;...]

$FILE_NAME Attribute Values:
Flags: Archive
Name: watermark.bmp
Parent MFT Entry: 41 	Sequence: 6
Allocated Size: 0   	Actual Size: 0
Created:	2014-04-01 03:27:10 (CEST)
File Modified:	2014-04-01 03:27:10 (CEST)
MFT Modified:	2014-04-01 03:27:10 (CEST)
Accessed:	2014-04-01 03:27:10 (CEST)

&#91;...]</code></pre>



<p class="wp-block-paragraph">Rufen wir nun die Inode 41 ebenfalls über&nbsp;<code>istat</code>&nbsp;auf, erhalten wir folgende Informationen.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 41
MFT Entry Header Values:
Entry: 41        Sequence: 6
$LogFile Sequence Number: 7528870
Allocated Directory
Links: 2

$STANDARD_INFORMATION Attribute Values:
Flags: 
Owner ID: 0
Security ID: 268  (S-1-5-32-544)
Created:	2014-04-01 03:27:10 (CEST)
File Modified:	2014-04-01 03:27:11 (CEST)
MFT Modified:	2014-04-01 03:27:11 (CEST)
Accessed:	2014-04-01 03:27:11 (CEST)

$FILE_NAME Attribute Values:
Flags: Directory
Name: c11ebc8f1088cd30d5e7
Parent MFT Entry: 5 	Sequence: 5
Allocated Size: 0   	Actual Size: 0
Created:	2014-04-01 03:27:10 (CEST)
File Modified:	2014-04-01 03:27:10 (CEST)
MFT Modified:	2014-04-01 03:27:10 (CEST)
Accessed:	2014-04-01 03:27:10 (CEST)</code></pre>



<p class="wp-block-paragraph">Der Parent-Eintrag dieser Inode ist das Root-Verzeichnis (<em>Inode 5</em>), somit haben wir das oberste Verzeichnis erreicht. Der vollständige Pfad der Datei ist daher /c11ebc8f1088cd30d5e7/watermark.bmp.</p>



<p class="wp-block-paragraph">Sichern Sie die Informationen aus dem MFT Entry der Datei watermark.bmp einmal als Hexdump und einmal für den Menschen lesbar.</p>



<p class="wp-block-paragraph">Die Ausgabe des Hexdumps kann über&nbsp;<code>icat</code>&nbsp;und&nbsp;<code>dd</code>&nbsp;ermöglicht werden. Hierfür überspringen wir die ersten 47104 (<em>=46*1024</em>) Byte.</p>



<pre class="wp-block-code"><code>$ icat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 0 | dd of=watermark_bmp_mft.dd skip=47104 count=1024 bs=1
1024+0 Datensätze ein
1024+0 Datensätze aus
1024 Bytes (1,0 kB) kopiert, 0,212446 s, 4,8 kB/s</code></pre>



<p class="wp-block-paragraph">Die für Menschen lesbare Ausgabe erhalten wir dadurch, dass wir die Ausgabe von&nbsp;<code>istat</code>&nbsp;in eine Textdatei schreiben.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 46 &gt; watermark_bmp.txt</code></pre>



<p class="wp-block-paragraph">Welche Attribute sind im MFT Entry von watermark.bmp vorhanden?</p>



<p class="wp-block-paragraph">In der&nbsp;<code>istat</code>-Ausgabe bzw. der soeben erstellten Textdatei sind die Attribute aufgelistet.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 46
MFT Entry Header Values:
Entry: 46        Sequence: 3
$LogFile Sequence Number: 7528758
Allocated File
Links: 2

&#91;...]

Attributes: 
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-3)   Name: N/A   Resident   size: 90
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 92
Type: $DATA (128-4)   Name: N/A   Non-Resident   size: 110348  init_size: 110348

&#91;...]</code></pre>



<p class="wp-block-paragraph">Der MFT Entry hat die vier Attribute $STANDARD_INFORMATION und $DATA sowie zwei mal das Attribut $FILE_NAME.</p>



<p class="wp-block-paragraph">Mounten Sie das Dateisystem und löschen Sie die Datei watermark.bmp.</p>



<pre class="wp-block-code"><code>$ sudo mount -t ntfs-3g workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd /mnt
&#91;sudo] password for mkr: 
The disk contains an unclean file system (0, 0).
The file system wasn't safely closed on Windows. Fixing.
$ rm /mnt/c11ebc8f1088cd30d5e7/watermark.bmp </code></pre>



<p class="wp-block-paragraph">Um eine Löschoperation durchführen zu können, muss das Dateisystem ohne Schreibschutz gemountet werden. Veränderungen durch das Mounten allein können daher nicht ausgeschlossen werden.</p>



<p class="wp-block-paragraph">Welche Informationen haben sich im Inode der Datei verändert. Entscheiden Sie insbesondere, ob beim Löschen die Sequence Number erhöht wird.</p>



<p class="wp-block-paragraph">Zunächst geben wir uns die Informationen über Inode 46 bzw. watermark.bmp erneut aus.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd 46
MFT Entry Header Values:
Entry: 46        Sequence: 4
$LogFile Sequence Number: 7528758
Not Allocated File
Links: 0

&#91;...]

Attributes: 
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 92
Type: $DATA (128-4)   Name: N/A   Non-Resident   size: 110348  init_size: 110348

&#91;...]</code></pre>



<p class="wp-block-paragraph">Vergleicht man dies mit der Textdatei von zuvor, so erkennt man, dass sich die Sequenznummer von 3 auf 4 geändert hat. Weiterhin ist die Datei nun als Not Allocated vermerkt und verfügt über 0 Links. Ein $FILE_NAME-Attribut wurde in diesem Zug gelöscht (<em>der DOS-Name</em>). Da $DATA noch vorhanden ist, kann die Datei vollständig und unproblematisch wieder rekonstruiert werden.</p>



<p class="wp-block-paragraph">Speichern Sie nun das PDF des Übungsblatts in dem gleichen Verzeichnis wie die eben gelöschte Datei ab. Welcher MFT Entry wird genutzt? Entscheiden Sie mit Hilfe des ursprünglichen Dateisystemimages, ob sich die Sequenznummer beim Anlegen der Datei geändert hat.</p>



<p class="wp-block-paragraph">Die Datei lässt sich einfach über&nbsp;<code>fls</code>&nbsp;im Image finden.</p>



<pre class="wp-block-code"><code>$ fls -r workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd  | grep forensic
+ r/r 124-128-2:	forensic-ss15-exercise2.pdf</code></pre>



<p class="wp-block-paragraph">Für das Übungsblatt wird nun die Inode 124 verwendet. Die Sequenznummer ändert sich durch diesen Schritt nicht.</p>



<p class="wp-block-paragraph">Sie wenden den folgenden Befehl auf einen nicht näher bekannten MFT Entry xx an. Welches Attribut lesen Sie aus? Geben Sie das Datum an, das durch den last accessed Zeitstempel definiert wird.</p>



<pre class="wp-block-code"><code>$ icat workingcopy_partition_workingcopy_partition_workingcopy_partition_workingcopy_partition_ext.dd xx-16 | xxd | less
0000000: ee82 ec80 494d cf01 3446 1081 494d cf01 ....IM..4F..IM..
0000010: 3446 1081 494d cf01 2ece 3881 494d cf01 4F..IM....8.IM..
0000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000030: 0000 0000 0c01 0000 0000 0000 0000 0000 ................
0000040: 0000 0000 0000 0000 ........</code></pre>



<p class="wp-block-paragraph">Das Suffix&nbsp;<code>-16</code>&nbsp;steht für das Attribut $STANDARD_INFORMATION. Die folgende Tabelle beschreibt den Aufbau der Zeitstempel.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><th>Offset</th><th>Größe</th><th>Beschreibung</th></tr></thead><tbody><tr><td>0x00</td><td>8</td><td>C Time &#8211; File Creation</td></tr><tr><td>0x08</td><td>8</td><td>A Time &#8211; File Altered</td></tr><tr><td>0x10</td><td>8</td><td>M Time &#8211; MFT Changed</td></tr><tr><td>0x18</td><td>8</td><td>R Time &#8211; File Read</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Der Zeitstempel ist somit 0x01cf4d498138ce2e und entspricht der Dezimalzahl 130407892312968750. Dieser Wert steht für die Anzahl der 0,1 Mikrosekunden seit dem 01.01.1601 mit UTC 00:00. Wir können daher abschätzen, dass der letzte Zugriff im Jahr 2014 (<em>=1601+413</em>) gegen Ende März (<em>=89/3</em>) stattgefunden hat. Die zugrundeliegende Formel wird im folgenden gezeigt.</p>



<p class="wp-block-paragraph">\( \\130407892312968750 * 0,1\mu s = 130407892312968750 * \frac{1}{10} * \frac{1s}{1000000 } =13040789231,296875s \\60\frac{s}{m}*60\frac{m}{h}*24\frac{h}{d}*365,2425\frac{d}{y}=31556952\frac{mhds}{mhdy}=31556952\frac{s}{y} \\ \frac{13040789231,296875s}{31556952\frac{s}{y}}\approx 413,24616 Jahre \)</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-14/">Computer Forensik (Vorlesung 14)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-14/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 13)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-13/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-13/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Tue, 09 Jun 2015 09:04:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2837</guid>

					<description><![CDATA[<p>In der heutigen Sitzung besprechen wir die Ergebnisse der zweiten Übung. Der Schwerpunkt dieser Übung liegt auf der Analyse von NTFS-Partitionen. Skript-Anfang Übung 2 &#8211;&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-13/">Computer Forensik (Vorlesung 13)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">In der heutigen Sitzung besprechen wir die Ergebnisse der zweiten Übung. Der Schwerpunkt dieser Übung liegt auf der Analyse von NTFS-Partitionen.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Übung 2 &#8211; Seite 1</td></tr><tr><th>Skript-Ende</th><td>Übung 2 &#8211; Seite 1</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">Besprechung der Übung</h3>



<p class="wp-block-paragraph">Schreiben Sie die einzige erweiterte Dateisystempartition (<em>d.h. sekundäre Dateisystempartition</em>) in die Arbeitskopie workingcopy_partition_ext.dd.</p>



<p class="wp-block-paragraph">Damit wir eine Partition extrahieren können, benötigen wir weitere Informationen über die Partitionierung des Images. Wir verwenden&nbsp;<code>mmls</code>, um die Partitionstabelle im MBR auszuwerten.</p>



<pre class="wp-block-code"><code>$ mmls arbeitskopie.dd 
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

     Slot    Start        End          Length       Description
00:  Meta    0000000000   0000000000   0000000001   Primary Table (#0)
01:  -----   0000000000   0000002047   0000002048   Unallocated
02:  00:00   0000002048   0010231807   0010229760   NTFS (0x07)
03:  00:01   0010231808   0010272767   0000040960   DOS FAT16 (0x06)
04:  -----   0010272768   0010295295   0000022528   Unallocated
05:  Meta    0010293248   0012646399   0002353152   Win95 Extended (0x0f)
06:  Meta    0010293248   0010293248   0000000001   Extended Table (#1)
07:  01:00   0010295296   0012138495   0001843200   NTFS (0x07)
08:  -----   0012138496   0012648613   0000510118   Unallocated</code></pre>



<p class="wp-block-paragraph">Sekundäre Dateisystempartitionen sind anhand der Informationen in der&nbsp;<em>Slot-Spalte</em>&nbsp;zu erkennen. Primäre Partitionen sind mit 00:XX und sekundäre Partitionen mit 01:XX maskiert. Der Eintrag für diese Partition steht somit nicht im MBR, sondern in der&nbsp;<em>Extended Table</em>. Folglich ist die zweite NTFS-Partition für uns von Interesse. Wir schreiben sie mithilfe von&nbsp;<code>dd</code>&nbsp;heraus.</p>



<pre class="wp-block-code"><code>$ dd if=arbeitskopie.dd of=workingcopy_partition_ext.dd bs=512 skip=0010295296 count=1843200</code></pre>



<p class="wp-block-paragraph">Wie lautet die SHA-256-Hashsumme von workingcopy_partition_ext.dd?</p>



<pre class="wp-block-code"><code>$ sha256sum workingcopy_partition_ext.dd 
80241dd91be5077aacaa03dfb5954bbb03944c2715d51a592dcb56e43cf71d86  workingcopy_partition_ext.dd</code></pre>



<p class="wp-block-paragraph">Wie groß ist der Partitionsslack, d.h. die Anzahl freier Sektoren der Partition &#8222;hinter&#8220; dem Dateisystem?</p>



<p class="wp-block-paragraph">Wir wissen bereits, dass die nun extrahierte Partition 1.843.200 Sektoren (<em>je 512 Byte</em>) groß ist. Dies ist die Sicht von Außen auf die Partition. Über&nbsp;<code>fsstat</code>&nbsp;erfahren wir mehr über die innere Sicht auf unsere NTFS-Partition.</p>



<pre class="wp-block-code"><code>$ fsstat workingcopy_partition_ext.dd 
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: NTFS
Volume Serial Number: 2E10B58010B55017
OEM Name: NTFS    
Volume Name: Volume3
Version: Windows XP

&#91;...]

CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 230398
Total Sector Range: 0 - 1843198</code></pre>



<p class="wp-block-paragraph">Der Auszug zeigt, dass insgesamt 230.399 Cluster bzw. 1.843.199 von dieser Partition verwendet werden. Rechnet man diese Werte in Byte um, so zeigt sich, dass durch die Sektorangabe ein größerer Speicherbereich abgedeckt wird als von der Cluster-Angabe. Da für uns nur der Wert hinter der reservierten Partition interessant ist, verwenden wir den größeren Wert als Referenz. Gemäß der Definition in der Vorlesung gilt, dass ein Partitionsslack alle Sektoren innerhalb einer Partition umfasst, die nicht einem Dateisystem zugeordnet sind. Folglich gibt es einen freien Sektor (<em>1.843.200 &#8211; 1.843.199 = 1</em>).</p>



<p class="wp-block-paragraph">Wo liegt die Backupkopie des Bootsektors?</p>



<p class="wp-block-paragraph">Die Backupkopie des Bootsektors liegt im letzten Sektor des Partitionsslacks, also hinter dem Dateisystem. Mit&nbsp;<code>xxd</code>&nbsp;können wir uns den Inhalt des Bootsektors ansehen. Der Parameter&nbsp;<code>-seek 943717888</code>&nbsp;erlaubt es uns an der Position des 943.717.888 Bytes bzw. des 1.843.199 Clusters zu starten.</p>



<pre class="wp-block-code"><code>$ xxd -seek 943717888 workingcopy_partition_ext.dd 
383ffe00:eb52 904e 5446 5320 2020 2000 0208 0000  .R.NTFS    .....
383ffe10:0000 0000 00f8 0000 3f00 ff00 0008 0000  ........?.......
383ffe20:0000 0000 8000 8000 ff1f 1c00 0000 0000  ................
383ffe30:002c 0100 0000 0000 0200 0000 0000 0000  .,..............
383ffe40:f600 0000 0100 0000 1750 b510 80b5 102e  .........P......
383ffe50:0000 0000 fa33 c08e d0bc 007c fb68 c007  .....3.....|.h..
383ffe60:1f1e 6866 00cb 8816 0e00 6681 3e03 004e  ..hf......f.&gt;..N
383ffe70:5446 5375 15b4 41bb aa55 cd13 720c 81fb  TFSu..A..U..r...
383ffe80:55aa 7506 f7c1 0100 7503 e9dd 001e 83ec  U.u.....u.......
383ffe90:1868 1a00 b448 8a16 0e00 8bf4 161f cd13  .h...H..........
383ffea0:9f83 c418 9e58 1f72 e13b 060b 0075 dba3  .....X.r.;...u..
383ffeb0:0f00 c12e 0f00 041e 5a33 dbb9 0020 2bc8  ........Z3... +.
383ffec0:66ff 0611 0003 160f 008e c2ff 0616 00e8  f...............
383ffed0:4b00 2bc8 77ef b800 bbcd 1a66 23c0 752d  K.+.w......f#.u-
383ffee0:6681 fb54 4350 4175 2481 f902 0172 1e16  f..TCPAu$....r..
383ffef0:6807 bb16 6870 0e16 6809 0066 5366 5366  h...hp..h..fSfSf
383fff00:5516 1616 68b8 0166 610e 07cd 1a33 c0bf  U...h..fa....3..
383fff10:2810 b9d8 0ffc f3aa e95f 0190 9066 601e  (........_...f`.
383fff20:0666 a111 0066 0306 1c00 1e66 6800 0000  .f...f.....fh...
383fff30:0066 5006 5368 0100 6810 00b4 428a 160e  .fP.Sh..h...B...
383fff40:0016 1f8b f4cd 1366 595b 5a66 5966 591f  .......fY&#91;ZfYfY.
383fff50:0f82 1600 66ff 0611 0003 160f 008e c2ff  ....f...........
383fff60:0e16 0075 bc07 1f66 61c3 a0f8 01e8 0900  ...u...fa.......
383fff70:a0fb 01e8 0300 f4eb fdb4 018b f0ac 3c00  ..............&lt;.
383fff80:7409 b40e bb07 00cd 10eb f2c3 0d0a 4665  t.............Fe
383fff90:686c 6572 2062 6569 6d20 4c65 7365 6e20  hler beim Lesen 
383fffa0:6465 7320 4461 7465 6e74 7284 6765 7273  des Datentr.gers
383fffb0:000d 0a42 4f4f 544d 4752 2066 6568 6c74  ...BOOTMGR fehlt
383fffc0:000d 0a42 4f4f 544d 4752 206b 6f6d 7072  ...BOOTMGR kompr
383fffd0:696d 6965 7274 000d 0a4e 6575 7374 6172  imiert...Neustar
383fffe0:7420 6d69 7420 5374 7267 2b41 6c74 2b45  t mit Strg+Alt+E
383ffff0:6e74 660d 0a00 0a00 8cb1 c1d7 0000 55aa  ntf...........U.</code></pre>



<p class="wp-block-paragraph">Erfreulicherweise wird uns am Ende ebenfalls die bekannte Signatur 0xAA55 angezeigt, die typisch für Bootsektoren ist.</p>



<p class="wp-block-paragraph">Geben Sie ohne Zuhilfenahme des Dateisystems die Sektoren an, die von der $MFTMirr belegt werden.</p>



<p class="wp-block-paragraph">Wir nutzen den&nbsp;<code>echo</code>-Befehl in Kombination mit&nbsp;<code>od</code>, um uns die ASCII-konvertierten Bytes anzeigen zu lassen. Diese verwenden wir später, um nach der Zeichenkette &#8222;FILE&#8220; zu suchen.</p>



<pre class="wp-block-code"><code>$ echo -n "FILE" | od -t x1
0000000 46 49 4c 45</code></pre>



<p class="wp-block-paragraph">Der Parameter&nbsp;<code>-n</code>&nbsp;hat an dieser Stelle verhindert, dass Zeilenumbrüche von&nbsp;<code>echo</code>&nbsp;angezeigt werden. Wir haben somit 0x454c4946 als Suchwert erhalten. Suchen wir nun mittels&nbsp;<code>sigfind</code>&nbsp;nach dieser Signatur, sollten wir die $MFTMirr finden.</p>



<pre class="wp-block-code"><code>$ sigfind -l 454c4946 workingcopy_partition_ext.dd 
Block size: 512  Offset: 0  Signature: 46494C45
Block: 16 (-)
Block: 18 (+2)
Block: 20 (+2)
Block: 22 (+2)
Block: 614400 (+614378)
Block: 614402 (+2)
Block: 614404 (+2)
Block: 614406 (+2)
Block: 614408 (+2)
Block: 614410 (+2)
Block: 614412 (+2)
Block: 614414 (+2)
Block: 614416 (+2)
	
&#91;...]</code></pre>



<p class="wp-block-paragraph">An dieser Stelle ist nur ein Ausschnitt des Rückgabewerts zu sehen. Die Blöcke 16-22 sind vermutlich der normalen $MFT zuzuordnen. Die Blöcke im Bereich 614400 wären dadurch der $MFTMirr zuzordnen. Sie kann daran erkannt werden, dass vier aufeinander folgende Einträgen mit &#8222;FILE&#8220; enthalten sind. Diese stehen für Records von $MFT, $MFTMirr, $LogFile und $Volume. An dieser Stelle ist anzumerken, dass die $MFTMirr normalerweise in der Mitte der Partition anzufinden ist (<em>ca. bei Block 921.599</em>). Hier liegt sie jedoch deutlich weiter vorne.</p>



<p class="wp-block-paragraph">Sehen Sie sich den Hexdump der Inhaltsdaten der Dateisystem-Metadaten-Datei $AttrDef an. Geben Sie nur anhand dieses Hexdumps Hypothesen an, welche Informationen in $AttrDef gespeichert werden und wie die Spezifikation der Datenstrukturen aussieht.</p>



<p class="wp-block-paragraph">Die $AttrDef-Datei hat die Inode 4 und kann dadurch einfach adressiert werden.</p>



<pre class="wp-block-code"><code>$ icat workingcopy_partition_ext.dd 4  | xxd
0000000: 2400 5300 5400 4100 4e00 4400 4100 5200  $.S.T.A.N.D.A.R.
0000010: 4400 5f00 4900 4e00 4600 4f00 5200 4d00  D._.I.N.F.O.R.M.
0000020: 4100 5400 4900 4f00 4e00 0000 0000 0000  A.T.I.O.N.......
0000030: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000050: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000060: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000070: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000080: 1000 0000 0000 0000 0000 0000 4000 0000  ............@...
0000090: 3000 0000 0000 0000 4800 0000 0000 0000  0.......H.......

00000a0: 2400 4100 5400 5400 5200 4900 4200 5500  $.A.T.T.R.I.B.U.
00000b0: 5400 4500 5f00 4c00 4900 5300 5400 0000  T.E._.L.I.S.T...
00000c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000100: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000110: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000120: 2000 0000 0000 0000 0000 0000 8000 0000   ...............
0000130: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

0000140: 2400 4600 4900 4c00 4500 5f00 4e00 4100  $.F.I.L.E._.N.A.
0000150: 4d00 4500 0000 0000 0000 0000 0000 0000  M.E.............
0000160: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000170: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000180: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000190: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00001a0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00001b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00001c0: 3000 0000 0000 0000 0000 0000 4200 0000  0...........B...
00001d0: 4400 0000 0000 0000 4202 0000 0000 0000  D.......B.......

00001e0: 2400 4f00 4200 4a00 4500 4300 5400 5f00  $.O.B.J.E.C.T._.
00001f0: 4900 4400 0000 0000 0000 0000 0000 0000  I.D.............
0000200: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000210: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000220: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000230: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000240: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000250: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000260: 4000 0000 0000 0000 0000 0000 4000 0000  @...........@...
0000270: 0000 0000 0000 0000 0001 0000 0000 0000  ................

0000280: 2400 5300 4500 4300 5500 5200 4900 5400  $.S.E.C.U.R.I.T.
0000290: 5900 5f00 4400 4500 5300 4300 5200 4900  Y._.D.E.S.C.R.I.
00002a0: 5000 5400 4f00 5200 0000 0000 0000 0000  P.T.O.R.........
00002b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00002c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00002d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00002e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00002f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000300: 5000 0000 0000 0000 0000 0000 8000 0000  P...............
0000310: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

0000320: 2400 5600 4f00 4c00 5500 4d00 4500 5f00  $.V.O.L.U.M.E._.
0000330: 4e00 4100 4d00 4500 0000 0000 0000 0000  N.A.M.E.........
0000340: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000350: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000360: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000370: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000380: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000390: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003a0: 6000 0000 0000 0000 0000 0000 4000 0000  `...........@...
00003b0: 0200 0000 0000 0000 0001 0000 0000 0000  ................

00003c0: 2400 5600 4f00 4c00 5500 4d00 4500 5f00  $.V.O.L.U.M.E._.
00003d0: 4900 4e00 4600 4f00 5200 4d00 4100 5400  I.N.F.O.R.M.A.T.
00003e0: 4900 4f00 4e00 0000 0000 0000 0000 0000  I.O.N...........
00003f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000400: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000410: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000420: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000430: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000440: 7000 0000 0000 0000 0000 0000 4000 0000  p...........@...
0000450: 0c00 0000 0000 0000 0c00 0000 0000 0000  ................

0000460: 2400 4400 4100 5400 4100 0000 0000 0000  $.D.A.T.A.......
0000470: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000480: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000490: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00004a0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00004b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00004c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00004d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00004e0: 8000 0000 0000 0000 0000 0000 0000 0000  ................
00004f0: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

0000500: 2400 4900 4e00 4400 4500 5800 5f00 5200  $.I.N.D.E.X._.R.
0000510: 4f00 4f00 5400 0000 0000 0000 0000 0000  O.O.T...........
0000520: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000530: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000540: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000550: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000560: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000570: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000580: 9000 0000 0000 0000 0000 0000 4000 0000  ............@...
0000590: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

00005a0: 2400 4900 4e00 4400 4500 5800 5f00 4100  $.I.N.D.E.X._.A.
00005b0: 4c00 4c00 4f00 4300 4100 5400 4900 4f00  L.L.O.C.A.T.I.O.
00005c0: 4e00 0000 0000 0000 0000 0000 0000 0000  N...............
00005d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00005e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00005f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000600: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000610: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000620: a000 0000 0000 0000 0000 0000 8000 0000  ................
0000630: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

0000640: 2400 4200 4900 5400 4d00 4100 5000 0000  $.B.I.T.M.A.P...
0000650: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000660: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000670: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000680: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000690: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00006a0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00006b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00006c0: b000 0000 0000 0000 0000 0000 8000 0000  ................
00006d0: 0000 0000 0000 0000 ffff ffff ffff ffff  ................

00006e0: 2400 5200 4500 5000 4100 5200 5300 4500  $.R.E.P.A.R.S.E.
00006f0: 5f00 5000 4f00 4900 4e00 5400 0000 0000  _.P.O.I.N.T.....
0000700: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000710: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000720: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000730: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000740: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000750: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000760: c000 0000 0000 0000 0000 0000 8000 0000  ................
0000770: 0000 0000 0000 0000 0040 0000 0000 0000  .........@......

0000780: 2400 4500 4100 5f00 4900 4e00 4600 4f00  $.E.A._.I.N.F.O.
0000790: 5200 4d00 4100 5400 4900 4f00 4e00 0000  R.M.A.T.I.O.N...
00007a0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00007b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00007c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00007d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00007e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00007f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000800: d000 0000 0000 0000 0000 0000 4000 0000  ............@...
0000810: 0800 0000 0000 0000 0800 0000 0000 0000  ................

0000820: 2400 4500 4100 0000 0000 0000 0000 0000  $.E.A...........
0000830: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000840: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000850: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000860: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000870: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000880: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000890: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00008a0: e000 0000 0000 0000 0000 0000 0000 0000  ................
00008b0: 0000 0000 0000 0000 0000 0100 0000 0000  ................

00008c0: 2400 4c00 4f00 4700 4700 4500 4400 5f00  $.L.O.G.G.E.D._.
00008d0: 5500 5400 4900 4c00 4900 5400 5900 5f00  U.T.I.L.I.T.Y._.
00008e0: 5300 5400 5200 4500 4100 4d00 0000 0000  S.T.R.E.A.M.....
00008f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000900: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000910: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000920: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000930: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000940: 0001 0000 0000 0000 0000 0000 8000 0000  ................
0000950: 0000 0000 0000 0000 0000 0100 0000 0000  ................
0000960: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000970: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000980: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000990: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009a0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009b0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00009f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
</code></pre>



<p class="wp-block-paragraph">Die Ausgabe zeigt ein gewisses Muster, das sich wiederholt. Blöcke bzw. Strukturen gleichbleibender Länge sind zu erkennen, die mit einem Namen beginnen. Die Namen deuten darauf hin, dass hier Informationen über Attribute des Dateisystems gespeichert sind.</p>



<p class="wp-block-paragraph">Geben Sie die Spezifikation des MFT Entry Headers an.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><th>Offset</th><th>Zweck</th></tr></thead><tbody><tr><td>0-3</td><td>Signature: ether FILE or BAAD, which denotes a bad entry</td></tr><tr><td>4-5</td><td>Offset to fixup array</td></tr><tr><td>6-7</td><td>Number of entries in fixup array</td></tr><tr><td>8-15</td><td>$LogFile sequence number</td></tr><tr><td>16-17</td><td>Sequence value</td></tr><tr><td>18-19</td><td>Link count</td></tr><tr><td>20-21</td><td>Offset to first attribute</td></tr><tr><td>22-23</td><td>Flags</td></tr><tr><td>24-27</td><td>Used size of MFT entry</td></tr><tr><td>28-31</td><td>Allocated size of MFT entry</td></tr><tr><td>32-39</td><td>File reference to base record</td></tr><tr><td>40-41</td><td>Next attribute identifier</td></tr><tr><td>42-1023</td><td>Attributes and fixup values</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Erläutern Sie, was ein Fixup-Value ist und wozu er dient.</p>



<p class="wp-block-paragraph">Der Fixup-Value dient der Erkennung von Fehlern in Clustern. Das Ziel des Fixup-Value ist somit die Datenintegrität.</p>



<p class="wp-block-paragraph">Geben Sie den Fixup-Value des MFT Eintrags von $AttrDef an und überzeugen sich, dass er an den erwarteten Stellen auftritt.</p>



<p class="wp-block-paragraph">Um an den MFT-Eintrag von $AttrDef zu kommen, muss Inode 0 adressiert werden. Innerhalb des MFT adressieren wir den vierten Eintrag, indem wir die Eintragsgröße von 1024 Byte als Referenz ausnutzen.</p>



<pre class="wp-block-code"><code>$ icat workingcopy_partition_ext.dd 0 | xxd -seek 4096 -l 1024
0001000: 4649 4c45 3000 0300 7927 2000 0000 0000  FILE0...y' .....
0001010: 0400 0100 3800 0100 c001 0000 0004 0000  ....8...........
0001020: 0000 0000 0000 0000 0500 0000 0400 0000  ................
0001030: 0800 0000 0000 0000 1000 0000 4800 0000  ............H...
0001040: 0000 1800 0000 0000 3000 0000 1800 0000  ........0.......
0001050: 106b 43b2 0f4d cf01 106b 43b2 0f4d cf01  .kC..M...kC..M..
0001060: 106b 43b2 0f4d cf01 106b 43b2 0f4d cf01  .kC..M...kC..M..
0001070: 0600 0000 0000 0000 0000 0000 0000 0000  ................
0001080: 3000 0000 7000 0000 0000 1800 0000 0200  0...p...........
0001090: 5200 0000 1800 0100 0500 0000 0000 0500  R...............
00010a0: 106b 43b2 0f4d cf01 106b 43b2 0f4d cf01  .kC..M...kC..M..
00010b0: 106b 43b2 0f4d cf01 106b 43b2 0f4d cf01  .kC..M...kC..M..
00010c0: 0090 0000 0000 0000 a08c 0000 0000 0000  ................
00010d0: 0600 0000 0000 0000 0803 2400 4100 7400  ..........$.A.t.
00010e0: 7400 7200 4400 6500 6600 0000 0000 0000  t.r.D.e.f.......
00010f0: 5000 0000 8000 0000 0000 1800 0000 0300  P...............
0001100: 6400 0000 1800 0000 0100 0480 4800 0000  d...........H...
0001110: 5400 0000 0000 0000 1400 0000 0200 3400  T.............4.
0001120: 0200 0000 0000 1400 8900 1200 0101 0000  ................
0001130: 0000 0005 1200 0000 0000 1800 8900 1200  ................
0001140: 0102 0000 0000 0005 2000 0000 2002 0000  ........ ... ...
0001150: 0101 0000 0000 0005 1200 0000 0102 0000  ................
0001160: 0000 0005 2000 0000 2002 0000 0000 0000  .... ... .......
0001170: 8000 0000 4800 0000 0100 0000 0000 0400  ....H...........
0001180: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0001190: 4000 0000 0000 0000 0010 0000 0000 0000  @...............
00011a0: 000a 0000 0000 0000 000a 0000 0000 0000  ................
00011b0: 3101 b725 0100 0000 ffff ffff 0000 0000  1..%............
00011c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00011d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00011e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................

&#91;...]

00013e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00013f0: 0000 0000 0000 0000 0000 0000 0000 0800  ................</code></pre>



<p class="wp-block-paragraph">Wir können aus der vorherigen Tabelle ablesen, dass die Angabe zum Offset in den Bytes 4 und 5 vermerkt ist. Der enthaltene Wert ist 0x0030. Schauen wir uns die Bytes an der Adresse 0x1030 bis 0x1031 an, finden wir die Bytes 08 00. Diese Wertkombination kann ebenfalls in den letzten beiden Byte wiedergefunden werden.</p>



<p class="wp-block-paragraph">Wie lautet die Referenzadresse von $AttrDef?</p>



<p class="wp-block-paragraph">Jeder MFT-Eintrag hat eine 16 Bit Sequenznummer und eine 48 Bit Record-Nummer. Sie bilden eine 64 Bit Referenzadresse.</p>



<pre class="wp-block-code"><code>$ istat workingcopy_partition_ext.dd  4
MFT Entry Header Values:
Entry: 4        Sequence: 4
$LogFile Sequence Number: 2107257
Allocated File
Links: 1

&#91;...]</code></pre>



<p class="wp-block-paragraph">Die Referenzadresse von $AttrDef ist in diesem Fall 0x0004 || 0x000000000004.</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-13/">Computer Forensik (Vorlesung 13)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-13/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 12)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-12/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-12/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 08 Jun 2015 09:03:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2835</guid>

					<description><![CDATA[<p>In der heutigen Vorlesung besprechen wir grob die Themen&#160;Operationen im NTFS-Dateisystem&#160;und&#160;Alternate Data Stream (ADS). Ein Teil der Vorlesung wird für eine Wiederholung des Stoffes aus&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-12/">Computer Forensik (Vorlesung 12)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">In der heutigen Vorlesung besprechen wir grob die Themen&nbsp;<em>Operationen im NTFS-Dateisystem</em>&nbsp;und&nbsp;<em>Alternate Data Stream (ADS)</em>. Ein Teil der Vorlesung wird für eine Wiederholung des Stoffes aus der vorherigen Vorlesung genutzt. Alle Informationen sind im Foliensatz zu finden oder werden praxisnah in Übung 2, die in der nächsten Unterrichtseinheit bearbeitet wird, vertieft.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Kapitel 5 &#8211; Seite 26</td></tr><tr><th>Skript-Ende</th><td>Kapitel 5 &#8211; Seite 64</td></tr></tbody></table></figure>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-12/">Computer Forensik (Vorlesung 12)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-12/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Computer Forensik (Vorlesung 11)</title>
		<link>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-11/</link>
					<comments>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-11/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 01 Jun 2015 09:03:00 +0000</pubDate>
				<category><![CDATA[Computer Forensik]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=2833</guid>

					<description><![CDATA[<p>In der heutigen Vorlesung besprechen wir&#160;Attribute&#160;und&#160;File System Metadata Files. Skript-Anfang Kapitel 5 &#8211; Seite 26 Skript-Ende Kapitel 5 &#8211; Seite 48 NTFS Wie finden wir&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-11/">Computer Forensik (Vorlesung 11)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">In der heutigen Vorlesung besprechen wir&nbsp;<em>Attribute</em>&nbsp;und&nbsp;<em>File System Metadata Files</em>.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Skript-Anfang</th><td>Kapitel 5 &#8211; Seite 26</td></tr><tr><th>Skript-Ende</th><td>Kapitel 5 &#8211; Seite 48</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">NTFS</h3>



<p class="wp-block-paragraph">Wie finden wir die $MFTMirr?</p>



<ul class="wp-block-list">
<li>Wenn das Dateisystem nutzbar ist, schauen wir einfach im MFT-Eintrag 1 nach</li>



<li>Wenn das Dateisystem nicht nutzbar ist, suchen wir das Backup des Bootsektors und navigieren durch dieses zum MFT</li>



<li>Im Notfall suchen wir den ASCII-String &#8222;FILE&#8220; (<em>46494C45</em>) mit <code>sigfind</code></li>
</ul>



<pre class="wp-block-code"><code>$ sigfind -l 454c4946 image.dd &gt; sigfind_out</code></pre>



<p class="wp-block-paragraph">Wie finden wir das Backup des Bootsektors?</p>



<ul class="wp-block-list">
<li>Das Backup ist im letzten Sektor auf der Partition zu finden</li>



<li>Es liegt hinter dem eigentlichen Dateisystem</li>
</ul>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-11/">Computer Forensik (Vorlesung 11)</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/06/computer-forensik-vorlesung-11/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
