]> git.somenet.org - pub/jan/digfor.git/blob - report2/content.tex
changed stuff
[pub/jan/digfor.git] / report2 / content.tex
1
2 \newpage\section{Can you find hints or evidence on the personality of the applicant of Charles Prince? (2 points)}
3 It seems that more than one person was using this computer.
4 \subsection{Edgar Allen Poe}
5 \begin{itemize}
6 \item Most likely the previous owner of this computer.
7 \item eMail: \emph{\textbf{poe@x-ways.com}}\\
8 from: \emph{\textbf{IMAGE:/Documents and Settings/EdgarAllanPoe/My Documents/Inbox}}
9 \end{itemize}
10
11 \subsection{Charles Prince}
12 \begin{itemize}
13 \item Current owner of the computer as stated by assignment.
14 \item ebay: \emph{\textbf{n.o.b.o.d.y}} (maybe)\\
15 from: \emph{\textbf{IMAGE:/Documents and Settings/EdgarAllanPoe/Local Settings/Temp/Temporary Internet Files/Content.IE5/0P2NGHQ3/eBayISAPI[8].htm}}\\
16 It does not make sense that Charles Prince was interested in bidding for \emph{\textbf{4 Sommerreifen für Aston Martin V12 Vanquish}} before he knew he was going to steal that car. Also the file was Modified: 2008-11-07 01:07:23 GMT+01:00; Accessed: 2006-11-27 16:08:07 GMT+01:00; Created: 2004-05-03 17:17:40 GMT+01:00. This hints at an incorrect cache file.\\
17 \end{itemize}
18
19 \subsection{Robert Jankovics}
20 \begin{itemize}
21 \item Note: Facebook friend of Paul Staris.\\
22 Last modified the word-document containing the information on there the stolen car is.\\
23 from: \emph{\textbf{FORE:/ole/00265432.ole}}
24 \end{itemize}
25
26
27 \section{In particular, search for name, address or contact information (e.g., online nicknames). (2 points)}
28 The applicant is \emph{\textbf{Paul Staris}} also: \emph{\textbf{Paul Starin}}.
29 \begin{itemize}
30 \item Phone: \emph{\textbf{0650 42420815}}\\
31 from: \emph{\textbf{PAGEFILE:/htm/00152357.htm}}
32 \item facebook url: \emph{\textbf{\url{http://www.facebook.com/profile.php?id=1591750589&hiq=paul\%2Cstaris}}}\\
33 from: \emph{\textbf{PST:/Personal\ Folders/Deleted\ Items/2}}
34 \end{itemize}
35
36
37
38 \newpage\section{Can you find hard evidence that Charles Prince has stolen the car? (2 points)}
39 Based on the premise, that the applicant and Charles Prince would not share the same computer, no hard evidence could be found.\\
40 Some timestamps indicate that the filesystem has been tampered with and that incriminating material may have been put in there on purpose.\\
41
42 \begin{itemize}
43 \item The file \emph{\textbf{PAGEFILE:/htm/00152357.htm}} contains a sms.at-send-sms-page to \emph{\textbf{0650 42420815}} with the content: \emph{\textbf{I have stolen the Aston. You can get it at the arranged place. greetz, charles prince.}}\\
44 There is no sms-sent-sucessfully response anywhere to be found, which could indicate that this file was planted there for me to be found.
45
46 \item There is a confirmation of a bid for \emph{\textbf{4 Sommerreifen für Aston Martin V12 Vanquish}}, but again no positive response from ebay. Also the file was Modified: 2008-11-07 01:07:23 GMT+01:00; Accessed: 2006-11-27 16:08:07 GMT+01:00; Created: 2004-05-03 17:17:40 GMT+01:00. This hints at an incorrect cache file.\\
47 from: \emph{\textbf{IMAGE:/Documents and Settings/EdgarAllanPoe/Local Settings/Temp/Temporary Internet Files/Content.IE5/0P2NGHQ3/eBayISAPI[8].htm}}
48
49 \item The file \emph{\textbf{FORE:/ole/00265432.ole}} contains information where the applicant can grab his new car. This document was last modified by \emph{\textbf{Robert Jankovics}}.
50 \end{itemize}
51
52 \section{Search for pictures of the stolen car. (2 points)}
53 The File \emph{\textbf{FORE:/ole/00265432.ole}} contains an Image which has the location marked by a circle. It could be that the car was parked there while the satellite image was created.\\
54
55 The File \emph{\textbf{IMAGE:/\$OrphanFiles/OrphanFile-405}} contains an Image of an ston Martin V12 Vanquish.
56
57
58 \section{Can you find any information on where the car is parked for delivery? (2 points)}
59 The File \emph{\textbf{FORE:/ole/00265432.ole}} contains the Text \emph{\textbf{You will find the car parked at 20 Park Village E}} and an satellite image which has the location marked by a circle.
60
61
62 \section{Find all traces of online activity that is connected with the theft. (2 points)}
63 \begin{itemize}
64 \item The email in \emph{\textbf{PST:/Personal\ Folders/Deleted\ Items/2}} contains \emph{\textbf{Get the car. I will pay the best price.}} and \emph{\textbf{go for Aston}}.
65
66 \item The file \emph{\textbf{PAGEFILE:/htm/00152357.htm}} contains a sms.at-send-sms-page to \emph{\textbf{0650 42420815}} with the content: \emph{\textbf{I have stolen the Aston. You can get it at the arranged place. greetz, charles prince.}}
67
68 \item The file \emph{\textbf{FORE:/ole/00265432.ole}} contains information where the applicant can grab his new car.
69
70 \item There is an ebay-bid for \emph{\textbf{4 Sommerreifen für Aston Martin V12 Vanquish}}. But the file was Modified: 2008-11-07 01:07:23 GMT+01:00; Accessed: 2006-11-27 16:08:07 GMT+01:00; Created: 2004-05-03 17:17:40 GMT+01:00. This hints at an incorrect cache file.\\
71 from: \emph{\textbf{IMAGE:/Documents and Settings/EdgarAllanPoe/Local Settings/Temp/Temporary Internet Files/Content.IE5/0P2NGHQ3/eBayISAPI[8].htm}}
72 \end{itemize}
73
74
75
76 \newpage\section{Details}
77 \subsection{Sources}
78 \subsubsection{NTFS\_Image.dd (IMAGE or FORE)}
79 NTFS image given. It was imported in Autopsy and some interesting files were extracted. Files referenced in this report use the \emph{\textbf{IMAGE}}-prefix. Some files were found using foremost and use the \emph{\textbf{FORE}}-prefix. 
80 \begin{quote}
81 \textbf{size}: 271401984 byte\\
82 \textbf{''file''-output}: DOS/MBR boot sector, Microsoft Windows XP Bootloader NTFS (german)\\
83 \textbf{sha512}\\\ttfamily{
84 4caa0188dce8219246af0a5e2c52841140fec8d33513e91d880971b19b87c8c0\\
85 16f946227a941e31fdfeb5f35f901c6156e500f8d5fce9bb2035d36cfec34cfa}
86 \end{quote}
87
88 \subsubsection{IMAGE:/pagefile.sys (PAGEFILE)}
89 Windows swapfile. All files were extracted using foremost and if referenced, prefixed with \emph{\textbf{PAGEFILE}}.
90 \begin{quote}
91 \textbf{size}: 104870095 byte\\
92 \textbf{''file''-output}: data\\
93 \textbf{last modified}: 2008-11-07 03:13:03 GMT+01:00\\
94 \textbf{sha512}\\\ttfamily{
95 2b23031eaefed7b0bb8889f0b9342b1b57dc0df884164abdee21193ca59c10c2\\
96 680c8638b67c64e3c7c002f492a33ef7ba820354e1443c52a6a8692189b9ba01}
97 \end{quote}
98
99 \subsubsection{IMAGE:/\$OrphanFiles/OrphanFile-93 (PST)}
100 Deleted Outlook.pst file. All emails were extracted using readpst and if referenced, prefixed with \emph{\textbf{PST}}.
101 \begin{quote}
102 \textbf{size}: 525312 byte\\
103 \textbf{''file''-output}: Microsoft Outlook email folder (<=2002)\\
104 \textbf{last modified}: 2008-11-07 03:02:26 GMT+01:00\\
105 \textbf{sha512}\\\ttfamily{
106 8fee4e80997aa6d515a3607a63632fa67a5b6dba57c84e3bbae4e1a0eac4a0f8\\
107 6c0f0b8e90d0929438a4c76ded597eb56627e0d06b9699884f966410d88310ca}
108 \end{quote}
109
110 \subsubsection{IMAGE:/Documents and Settings/EdgarAllanPoe/Local Settings/Temp/Temporary Internet Files/Content.IE5/0P2NGHQ3/eBayISAPI[8].htm}
111 Internet Explorer cache file. Contains a bid for \emph{\textbf{4 Sommerreifen für Aston Martin V12 Vanquish}}. There is no corresponding file that proves taht the bid was actually placed.
112 \begin{quote}
113 \textbf{size}: 9228 byte\\
114 \textbf{''file''-output}: HTML document, ISO-8859 text, with very long lines, with CRLF line terminators\\
115 \textbf{last modified}: 2008-11-07 01:07:23 GMT+01:00\\
116 \textbf{sha512}\\\ttfamily{
117 23de83106dc2d777178854ebcf9c7ce72822c480e62dabbbf3a7e2c307c619ae\\
118 674ba389b3ead4f07d52152dfe25508cbfd699f2ae77f7d8ef990e73a2244e98}
119 \end{quote}
120
121 \subsubsection{FORE:/ole/00265432.ole}
122 File containing a satellite image of a street and the text \emph{\textbf{You will find the car parked at 20 Park Village E}}. The file was last modified by \emph{\textbf{Robert Jankovics}} and not as expected by \emph{\textbf{Charles Prince}}.
123 \begin{quote}
124 \textbf{size}: 5445632 byte\\
125 \textbf{''file''-output}: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.0, Code page: 1252, Author: Robert Jankovics, Template: Normal.dotm, Last Saved By: Robert Jankovics, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Create Time/Date: Sun Nov  9 18:28:00 2008, Last Saved Time/Date: Sun Nov  9 18:29:00 2008, Number of Pages: 1, Number of Words: 7, Number of Characters: 46, Security: 0\\
126 \textbf{sha512}\\\ttfamily{
127 0dd969ed0cf32b06a22846b77ef3ac6c94837ea09597979b64576ef3623d7d3b\\
128 ae28f237da514060115b38b05f13a1248761ce896369eedd0c9ebe5c1fd01093}
129 \end{quote}
130
131 \newpage\subsubsection{PAGEFILE:/htm/00152357.htm}
132 File containing a filled in sms.at-send-sms-form with the number: 0650/42420815 and the text \emph{\textbf{I have stolen the Aston. You can get it at the arranged place. greetz, charles prince.}}. The earliest delayed send date is \emph{\textbf{2008-11-09 18:45}}. This could indicate a crafted pagefile.sys, because the source pagefile.sys was last modified \emph{\textbf{2008-11-07 03:13:03 GMT+01:00}}.
133 \begin{quote}
134 \textbf{size}: 1048576 byte\\
135 \textbf{''file''-output}: HTML document, ISO-8859 text, with very long lines, with CRLF line terminators\\
136 \textbf{sha512}\\\ttfamily{
137 2b9f0dc441deb8adfbcc3608d2c43d0fc56d18e7caba1a96cd2d1aea06ba6e1c\\
138 b6dead07bff0ea905e134cc7351d0431a411443a82d03f79b9405900284fb5d6}
139 \end{quote}
140
141 \subsubsection{PST:/Personal\ Folders/Deleted\ Items/2}
142 Deleted unsent draft email containing html and text. It seems like this email was never sent and was only created, saved as a draft and deleted later. The text-content is:
143 \begin{lstlisting}
144 Status: RO
145 From: <MAILER-DAEMON>
146 Subject: your mission
147 To: 'charles.prince@freenet.com'
148 MIME-Version: 1.0
149 Content-Type: multipart/mixed;
150         boundary="--boundary-LibPST-iamunique-1921954641_-_-"
151
152 ----boundary-LibPST-iamunique-1921954641_-_-
153 Content-Type: multipart/alternative;
154         boundary="alt---boundary-LibPST-iamunique-1921954641_-_-"
155 --alt---boundary-LibPST-iamunique-1921954641_-_-
156 Content-Type: text/plain; charset="us-ascii"
157 Hi charles!
158  
159 Get the car. I will pay the best price.
160  
161 go for Aston,
162 your friend, Paul Starin
163 ----------------------------
164 http://www.facebook.com/profile.php?id=1591750589&hiq=paul%2Cstaris
165
166 \end{lstlisting}
167 \begin{quote}
168 \textbf{size}: 3212 byte\\
169 \textbf{''file''-output}: HTML document, ASCII text\\
170 \textbf{sha512}\\\ttfamily{
171 524d0c7ff4c8029e2fd72c91cc76aa086fd8d12afcaea78919be8fdefa0bd389\\
172 b2fb16af06ace979ab7815415adf14b5e95e702814c95f529241380b15961fb0}
173 \end{quote}
174
175
176
177 \newpage\subsection{Used tools on GuestVM}
178 Tools that were used for analysis (-{}-version):
179 \begin{itemize}
180 \item Autopsy 3.0.10
181 \end{itemize}
182
183 \subsection{Used tools on VM-Host}
184 Tools that were used for analysis (-{}-version):
185 \begin{itemize}
186 \item foremost version 1.5.7
187 \item ReadPST / LibPST v0.6.63
188 \item sha512sum (GNU coreutils) 8.22
189 \item ls (GNU coreutils) 8.22
190 \item file 5.18
191 \end{itemize}
192
193
194 \subsection{Machines}
195 \begin{itemize}
196 \item \textbf{Virtual machine}\\
197 Windows XP Version5.1 (Build2600.xpsp\_sp3\_qfe.130704-0421 : Service Pack3)
198 \item \textbf{Oracle VirtualBox} 4.3.10
199 \item \textbf{Host machine}\\
200  Linux rebx 3.14.0-gentoo-somenet.org \#1 SMP Sun Apr 6 01:00:17 CEST 2014 x86\_64 Intel(R) Core(TM)2 Duo CPU T9300 \@ 2.50GHz GenuineIntel GNU/Linux
201 \end{itemize}
202