diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md
index be97f54..94605ba 100644
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@@ -232,7 +232,7 @@ regripper -p winver -r # ? /tmp/system #
 
 ## Bitlocker Entschlüsselung
 
-(APL relevant)
+#### Funktionsweise von TPM Sniffing
 
 * per Bus TPM Sniffing mittels Logic Analyzer mit genug MSPS
   * TPM nutzt LPC (7 Signale), SPI (4 Signale) oder I2C
@@ -240,13 +240,29 @@ regripper -p winver -r # ? /tmp/system #
     * PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
     * Ein 500 MSPS LogicAnalyzer reicht für LPC
 * FVEK - zum Ver- und Entschlüsseln
-* Ent VMK1 - muss entsiegelt werden (Binär-Datei, unter 100k)
+* Ent VMK1 - muss entsiegelt werden (Binär-Datei, unter 100k), wird FVEK
+
+
+
+#### APL Vorgehensweise
 
 In der APL wird ein LPC Bus benutzt (also 7 Kanal-System). Die exportierten Werte müssen an "ARNE" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
 
-*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB) -> Export Data -> dauert lange, und wird 20 GB groß. 
+*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB *.sal File) -> Export Data -> dauert lange, und wird 20 GB großes CSV. 
 
-Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
+Tipp: Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
+
+#### Für den Boot-Vorgang
+
+Hier werden die Daten noch nicht entschlüsselt
+
+```bash
+ARNE -i bitlocker_logic_export.csv\ # nicht das .sal File
+-k "1=LCKL,2=LAD0,3=LAD1,4=LAD2,5=LAD3,6=LFRAME,7=LRESET"\
+-o wings_apl.vmk
+```
+
+#### Entschlüsselung
 
 ```dislocker``` : wird gebraucht, nach ARNE. Kann Bitlocker Partitionen unter macOS und Linux einbinden. Hier wird der VMK gebraucht (Version >= 0.7.2).
 
@@ -257,5 +273,30 @@ Partions-Layout:
 
 ARNE sucht nach einer Signatur, und holt einen 32 Byte für den VMK (?); sollte da drin sein wenn man nach dem Sub-String sucht.
 
-## foo
+```bash
+mkdir /tmp/dislocker
+
+sudo dislocker -h
+
+# siehe Platform 4n6
+
+# Eine entschlüsselte physische Partition entsteht wenn dislocker funktioniert
+
+# Hex-Editor:
+xxd dislocker-file | less
+
+
+```
+
+* 0..9615 - Block 1
+
+* 9616 - Block 2 : Bitlocker
+
+* Block 3: NTFS
+
+Block 2 wird ersetzt. `dmsetup` hilft.
+
+
+
+# foo