:strip_icc():strip_exif()/u/85530/crop5bfd1eb859900_cropped.jpeg?f=community)
Hallo heren (en wellicht dames),
Ik en klasgenoot zijn bezig met een opdracht voor school. De bedoeling is dat wij een aantal gebruikte harde schijven gaan onderzoeken op achtergebleven data. Onze gebruikte software is Helix/Ubuntu en PTK (ptk.dflabs.com, geavanceerdere versie van Sleuthkit en Autopsy).
Voordat wij aan de echte onderzoeksschijven willen beginnen, hebben wij een lege 20GB disk gepakt, daar een aantal foto's op gezet en vervolgens met gPart als FAT32 geformatteerd. Op deze manier is het onderzoek natuurlijk realistisch na te bootsen. Vervolgens maken wij een image (mogen uiteraard niet direct op het bewijsmateriaal werken) van de 20GB schijf door middels van DCFLDD (dcfldd if=/dev/sda1 of=/media/sdb1/images/image.dd). Die schrijven we dan naar de 120GB schijf. Dit verloopt allemaal goed, echter, als wij de .dd image openen in PTK is er echter alleen de FAT tabel te zien. Wanneer de de disk in Linux onder gPart als FAT32 formatteren, er is helemaal niets te zien in PTK.
Wat doen wij verkeerd? Ligt het aan de images, het formatteren of aan PTK? Bedankt alvast.
Ik en klasgenoot zijn bezig met een opdracht voor school. De bedoeling is dat wij een aantal gebruikte harde schijven gaan onderzoeken op achtergebleven data. Onze gebruikte software is Helix/Ubuntu en PTK (ptk.dflabs.com, geavanceerdere versie van Sleuthkit en Autopsy).
Voordat wij aan de echte onderzoeksschijven willen beginnen, hebben wij een lege 20GB disk gepakt, daar een aantal foto's op gezet en vervolgens met gPart als FAT32 geformatteerd. Op deze manier is het onderzoek natuurlijk realistisch na te bootsen. Vervolgens maken wij een image (mogen uiteraard niet direct op het bewijsmateriaal werken) van de 20GB schijf door middels van DCFLDD (dcfldd if=/dev/sda1 of=/media/sdb1/images/image.dd). Die schrijven we dan naar de 120GB schijf. Dit verloopt allemaal goed, echter, als wij de .dd image openen in PTK is er echter alleen de FAT tabel te zien. Wanneer de de disk in Linux onder gPart als FAT32 formatteren, er is helemaal niets te zien in PTK.
Wat doen wij verkeerd? Ligt het aan de images, het formatteren of aan PTK? Bedankt alvast.
[ Voor 8% gewijzigd door El_Bandito op 02-02-2009 11:42 ]
i7 2600K / Gigabyte GA-Z68x-UD3H-B3 / 8GB Corsair / ZoTac GTX570 / 60GB SSD
/u/47968/avatargot.png?f=community){kind=avatar}