====== Forensik ====== ===== Windows mit Bitlocker ===== Das Sichern der Daten kann mithilfe von Clonezilla geschehen. Hierbei wird das dd verfahren präferiert. Bitlocker: Falls Bitlocker noch nicht richtig eingerichtet wurde reicht die Flag -c im nachfolgenden command Falls ein Passwort vergeben wurde, muss mithilfe von -p das Bitlocker-Passwort angegeben werden. Oder mithilfe eines Sicherungs-USB-Sticks. Weitere Infos: [[https://www.kali.org/tools/dislocker/|https://www.kali.org/tools/dislocker/]] Das Wiederherstellen gelöschter Daten kann mit folgenden Befehlen durchgeführt werden. Hierbei wird das erstellt dd-image verwendet: === Wiederherstellung von IMG === # mount the dd-image to filesystem -> loop100 sudo losetup -P /dev/loop100 /media/psf/labor/af-2023-12-15-17-img/nvme0n1p3.dd-ptcl-img.uncomp.img # get the filesystem image from bitlocker file sudo dislocker -c -V /dev/loop100 -- /tmp/windoof/file # create loop0 with ntfs sudo mount -o loop,rw -t ntfs-3g /tmp/windoof/file/dislocker-file /tmp/windoof/mount photorec # sort files find recovered_files/recup_dir.* -type f -exec sh -c 'mkdir -p recovered_files/recup_dir.fileextensions/$(file -b --mime-type "{}" | awk -F/ "{print tolower(\$2)}") && cp "{}" recovered_files/recup_dir.fileextensions/$(file -b --mime-type "{}" | awk -F/ "{print tolower(\$2)}")/' \; === Wiederherstellung von Festplatte direkt (per USB z.B. angeschlossen) === # get the filesystem image from bitlocker file # /dev/sdbX muss die partition sein, welche mit bitlocker verwendet wurde. sudo dislocker -c -V /dev/sdbX -- /tmp/windoof/file # create loop0 with ntfs sudo mount -o loop,rw -t ntfs-3g /tmp/windoof/file/dislocker-file /tmp/windoof/mount photorec # sort files find recovered_files/recup_dir.* -type f -exec sh -c 'mkdir -p recovered_files/recup_dir.fileextensions/$(file -b --mime-type "{}" | awk -F/ "{print tolower(\$2)}") && cp "{}" recovered_files/recup_dir.fileextensions/$(file -b --mime-type "{}" | awk -F/ "{print tolower(\$2)}")/' \;