Hochschule Darmstadt Department of Computer Science Bachelor of Computer Science Harald Baier, Sebastian Gärtner WS 2015/2016 07.12.2015 IT-Sicherheit, Praktikum 5 Aufgabe 1 (IT-Forensik) In dieser Aufgabe sollen Sie die Masterkopie eines USB-Sticks analysieren. Die Masterkopie steht Ihnen als Datei mastercopy-usb.dd zur Verfügung. Bitte verwenden Sie in dieser Aufgabe den Standardkopierbefehl dd sowie einige Tools aus dem Sleuthkit (z.B. mmls, fsstat). (a) Sehen Sie sich die man-page des Befehls dd an. Machen Sie sich insbesondere mit den Optionen if, of, bs, skip, seek, count vertraut. (b) Berechnen Sie den SHA256-Hashwert der Masterkopie. (c) Erzeugen Sie mittels dd Ihre Arbeitskopie workingcopy-usb.dd und vergleichen Sie deren Hashwert mit dem der Masterkopie. (d) Sehen Sie sich nun die man-page des Befehls mmls an. Wenden Sie mmls auf Ihre Arbeitskopie an. (a) Wie viele Partitionen gibt es und welche Dateisysteme vermuten Sie darin? (b) Welche nicht-allozierten Bereiche gibt es? (e) Im zweiten nicht-allozierten Bereich wurde ein JPEG Bild versteckt. Extrahieren Sie das Bild und berechnen den SHA256-Hashwert. (f) Extrahieren Sie nun alle Partitionen und geben den jeweiligen SHA256-Hashwert an. (g) Geben Sie mit Hilfe des Befehls fsstat an, welche Dateisysteme in den extrahierten Partitionen liegen. (h) Verstecken Sie nun den String IT-SicherheitWS1516 ab Beginn des Sektors 5 in Ihrer Arbeitskopie. Bitte beachten Sie, dass die Adresse des ersten Sektors (d.h. des MBR) 0 ist. Sehen Sie sich das Ergebnis in Ihrer Arbeitskopie an und berechnen Sie zum Abschluss nochmals die Hashsumme Ihrer Arbeitskopie.
© Copyright 2024 ExpyDoc
