Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
*`losetup -a` : keine SquashFS loop Devices = einfacher
* bauen von Loop Devices (manuell ?)
*`--partscan` / `--find` / `--show`
*`log2timeline`
* optional, für die Generierung für Super-Timeline
*`sleuthkit` ist sehr versions-abhängig
* 4.12 hat LVM Unterstützung (unwichtig für APL)
* Auswertungen beginnen mit der Listung der Versions-Nummern der eingesetzten Forensik-Programme, sonst sind 2 Punkte weg.
* nicht alles wie `grep` etc., sondern `sleuthkit` usw.
* ZFS - Filesystem der 3. Generation. FAT16 z. B. ist schwer zu reparieren, da es kein Journal hat. 2. Generation: ext3 / ext4, HFS(+), NTFS - haben ein Journal. 3. Generation: ZFS
*`binwalk` und `yafs` werden ehr nicht benötigt werden
*`bulkextractor` sucht Crypto-Currency Kram und `.onion` Darknet URLs
* nur die alte Version mit Python 2 funktioniert für uns. Version 2 nicht nutzen, nur 1.6
*`scraper` Modul kann *nur* Crypto-Spuren suchen (es reicht für uns, und braucht kein Python 2)
## APL Theorie
* **Prefetch**
*`sccainfo` für das Lesen von *.pf Files
* gehören zu den "Windows-spezifischen Artefakten"
* unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
* wenn es sie nicht gibt, dokumentieren -> Screenshot
* Anzahl der Files vom Windows = Anzahl der VSS Dateien
* plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange. `log2timeline` erkennt VSS Kopieen automatisch und fragt. Die letzte könnte ausreichen: also "die neueste...".
*`vshadowinfo` : Sucher
*`vmdk` : Mounter
* **Registry**
*`sleuth``fsstat` - zeigt Win XP, kann aber 11 sein. XP ist die Versions-Nummer von NTFS (!)
* OS Infos werden ermittelt: aus der Registry
* Angedockte USB Devices erscheinen in der Registry
* USB Kennung emulierbar . Zeitstempel & Mount Point können evtl. abweichen. Kann man aufzeigen, aber ist semi-relevant ("sieht manipuliert aus").
* RegRipper (`rip.pl` oder so)
* Log2Timeline
* Geht alle logisch vorhandene Dateien durch, und macht einen Zeitstrahl
* Empfehlung: ohne VSS Kopieen
* Timeline: fix, nur Meta-Infos aus Datei
* Super-Timeline: lange, weil auch inhaltlich
* USB Sick Mount Event hat Zeitstempel
* **Outlook**
* APL irrelevant
* **$MFT**
* DB-artige Struktur, 4 Zeitstempel (Meta-Infos)
* Anti-Forensik Tools können idR die Zeitstempel in der MFT nicht manipulieren
## Zeitstempel
Anpassung der Zeitstempel unter Linux. Mindestens 3 Stempel, oft 4.
### MAC
1. m - modified (Inhaltlich)
2. a - accessed
3. c - Win: creation, Lin: changed (Änderung der Meta-Daten)
### MAC B ("Birth")
4. b -
## Tutorials
## Beispiele DELL & VSS
### Demo Trace
* APL: Screenshots nicht als alleiniges Merkmahl. Ein Satz muss dazu.
* Ein paar Screenshots sind sinnvoll, da es eine Echtheitsprüfung nach der APL geben kann. Nicht alles muss als Screenshot dargestellt werden.
* Es ist zu empfehlen zu zeigen, dass die Verzeichnisse vorher leer sind
In der APL wird ein LPC Bus benutzt (also 7 Kanal-System). Die exportierten Werte müssen an "ARNE" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB) -> Export Data -> dauert lange, und wird 20 GB groß.
Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
```dislocker``` : wird gebraucht, nach ARNE. Kann Bitlocker Partitionen unter macOS und Linux einbinden. Hier wird der VMK gebraucht (Version >= 0.7.2).
Partions-Layout:
* sdc1 vfat - EFI Kram
* hidden NTFS am Ende
ARNE sucht nach einer Signatur, und holt einen 32 Byte für den VMK (?); sollte da drin sein wenn man nach dem Sub-String sucht.