From 3c0cb9cacd7279fd52977945fe8cfc1f958f0045 Mon Sep 17 00:00:00 2001
From: marius <marius@because-security.com>
Date: Sat, 11 Nov 2023 16:30:49 +0100
Subject: [PATCH] APL Walk

---
 Notizen_Forensiche_Analyse_S3.md | 35 +++++++++++++++++++++++++++++++-
 1 file changed, 34 insertions(+), 1 deletion(-)

diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md
index b4e1ef8..96e6d33 100644
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@@ -298,7 +298,40 @@ Block 2 wird ersetzt. `dmsetup` hilft.
 
 #### Zugang ohne PW
 
-* utilmgr.exe -> cmd.exe - Ersetzen. Vorher ein Backup machen.
+* system32: utilmgr.exe <- cmd.exe - Ersetzen. Vorher ein Backup machen.
+
+## APL Infos
+
+2 Crypto Spuren `scraper` testen...
+
+1. `mmls bitlocker_image.E01`, Partition mit den meisten Sektoren ist wichtig
+2. `xmount --in ewf botlocker_image.E01 --cache /tmp/bl.ovl --out raw /ewf`  -> Bitlocker Image 128 GB oder so
+3. Physisch & Logisch, also gleich Loop Devices machen mit `losetup --partscan --part---show /ewf/bitlocker_image.dd`
+4. `ll /dev/loop7*`, in den 3er rein
+5.  `fsstat /dev/lopp7p3` -> "Encryption detected". Also
+6. `head /tmp/digital.csv` - SCLOCK, MOSI, MISO etc. also SPF
+   1. `ARNE -i /tmp/digital.csv -k "1=SCLK,2=CS,3=MOSI,4=MISO" -o hh.vmk`
+   2. Start SPI Decoder -> Läuft :) 
+   3. TPM Frames bei umdie 80%
+   4. LPC in der APL wird dauern
+7. `hh.vmk`  sollte in `/tmp` liegen, wenn erfolgreich extrahiert
+8. `dislocker` wird gebraucht
+   1. Copy & paste auf der Platform `mkdir /tmp/bitlocker` (Physisch), das andere logisch. 
+   2. diese `$()` Shell Mathe wird gebraucht, wenn loop Devices manuell erzeugt werden.
+   3. `dislocker -K /tmp/hh.vmk -V /dev/loop7p3 /tmp/bitlocker` - 127 GB oder so.
+9. `fsstat /tmp/bitlocker/dislocker-file | less` - XP heißt nicht Windows XP, sondern NTFS Version
+10. `fls /tmp/botlocker/dislocker-file`
+11. `utilmgr.exe`  mit Sleuth backuppen, kopiere dann `cmd.exe` drüber.
+12. loopdevice auf dislocker file
+13. dmsetup.txt erzeugen gemäß Tabelle
+14. Neues loop Devices gem. NTFS Partition, und dann noch was hinten dran kommt. cat Befehl aus dem 4n6
+    1. Basic Data Partition nicht mehr Bitlocker, sondern NTFS
+15. `xmount --in raw /dev/mapper/merged --cache /tmp/blohne.ovl --out vdi /ewf2` (virtuelles Device, kann also durch Reboot verschwinden). EWF wird 12 GB oder so. RAW 128 GB.
+    1. `ewf2` muss vorher angelegt werden
+16. ...
+17. VDI für VBox für die 100% Lösung, also Gast OS bauen
+
+
 
 # foo