VMK Re-Generierung mittels ARNE

Notizen_Forensiche_Analyse_S3.md

@@ -240,11 +240,22 @@ regripper -p winver -r # ? /tmp/system #
     * PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
     * Ein 500 MSPS LogicAnalyzer reicht für LPC
 * FVEK - zum Ver- und Entschlüsseln
-* Ent VMK1 - muss entsiegelt werden
+* Ent VMK1 - muss entsiegelt werden (Binär-Datei, unter 100k)
 
-In der APL wird ein LPC Bus benutzt. Die gesampelten Signale müssen an "Arne" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
+In der APL wird ein LPC Bus benutzt (also 7 Kanal-System). Die exportierten Werte müssen an "ARNE" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
 
-In der APL kann die Analyse 1-2 Stunden dauern. Das File ist 20 GB groß. Nach dem DL sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
+*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB) -> Export Data -> dauert lange, und wird 20 GB groß. 
+
+Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
+
+```dislocker``` : wird gebraucht, nach ARNE. Kann Bitlocker Partitionen unter macOS und Linux einbinden. Hier wird der VMK gebraucht (Version >= 0.7.2).
+
+Partions-Layout:
+
+* sdc1 vfat - EFI Kram
+* hidden NTFS am Ende
+
+ARNE sucht nach einer Signatur, und holt einen 32 Byte für den VMK (?); sollte da drin sein wenn man nach dem Sub-String sucht.
 
 ## foo