Computer Forensik: Prüfungsleistung

Deutsche Uni - Fachbereich Informatik - Computer Forensik: Prüfungsleistung Forensischer Bericht, Aktenzeichen: 2011/01/#6 17. Februar 2012 Prüing, 00000000

Inhaltsverzeichnis 1 Prolog 3 1.1 Auftrag..................................... 3 1.2 Beweismittel.................................. 3 1.3 Beweismittelübergabe............................. 4 1.4 Arbeitsumgebung................................ 4 2 Zusammenfassung 6 3 technische Zusammenfassung 7 4 Detaillierter Bericht 10 4.1 Datenträgeranalyse............................... 10 4.2 Dateisystemanalyse............................... 12 4.2.1 Erste primäre Partition - part0.dd.................. 12 4.2.2 Zweite primäre Partition - part1.dd.................. 20 4.3 Dateienanalyse................................. 23 4.3.1 NTFS Partition - part0.dd....................... 23 4.3.2 NTFS Partition - part1.dd....................... 24 5 Anhang 35 5.1 SHA1 Prüfsummen 1.............................. 35 5.2 Dateibaumvergleich - part0.dd......................... 36 5.3 Find *. - part1.dd.............................. 48 5.4 E-Mails..................................... 60 5.5 Gefundene kinderpornographische Bilder................... 63 2

1 Prolog In deisem Abschnitt wird ein Überblick über den Auftrag, die Beweismittel und die Beweismittelübergabe gegeben. 1.1 Auftrag Folgenden Auftrag haben wir von der Staatsanwaltschaft Fantasien erhalten: Es wird vermutet, dass Karsten Karton (geb. 21. September 1960) kinderpornographisches Material im Internet bezogen und verbreitet hat. Weiterhin soll er Mitglied eines internationalen Rings gewesen sein. Als Beweismittel wurde der Datenträger (Zeichen 2011/01/#6-1-HDD) seines privaten Computers sichergestellt. Von uns, als Sachverständige, wird eine unabhängige Analyse des Datenträgers in Form eines ausführlichen Berichts erwartet, der die Staatsanwaltschaft bei der Entscheidung über eine Anklageerhebung unterstützt. 1.2 Beweismittel Das Typenschild des übergebenen Datenträgers (Zeichen 2011/01/#6-1-HDD, Abb. 1) enthielt folgende Informationen. Hersteller: Seagate Typenbezeichnung: Barracuda 7200.7 Gröÿe: 40 GByte Modell: ST340014A Seriennummer: 5JXET9BN Abbildung 1: Der Datenträger (Zeichen 2011/01/#6-1-HDD). 3

1.3 Beweismittelübergabe Am 16.01.2012 um 13.01 Uhr wurde der Datenträger (Zeichen 2011/01/#6-1-HDD, Abb. 1) zur Sicherstellung der Daten an Prü ing übergeben. Während des gesamten Prozesses waren beide Gutachter anwesend. Auÿerdem wurde uns ein Read/Writeblocker ausgehändigt (Abb. 2). Abbildung 2: Der benutzte Read/Writeblocker. Von Herrn Prüfer haben wir die Zusatzinformation erhalten, es sei weder notwendig eine Prüfsumme über den ganzen Datenträger zu erzeugen noch den gesamten Datenträger zu kopieren. Die ersten 10-11 GByte würden genügen. Der Datenträger wurde an den Writeblocker angeschlossen und dieser mit einem LinuxSystem verbunden. Dabei wurde darauf geachtet, dass der in Abbildung 2 rechts zu sehende Schalter auf READ ONLY stand. Nach der Erkennung des Datenträgers, eingehängt bei /dev/sdb, wurde eine SHA1 Prüfsumme über die ersten 10500 MByte des Datenträgers erzeugt. Anschlieÿend wurden die selben ersten 10500 MByte mittels dd kopiert und dienen fortan als Masterkopie (image#6.dd). Zur Kontrolle wurde ebenfalls eine SHA1 Prüfsumme gebildet. Abschlieÿend wurde eine Arbeitskopie (image#6_copy.dd) mit dem Befehl 'cp' angelegt und zur Veri kation wieder eine Prüfsumme über die Kopie erzeugt. Da alle drei Prüfsummen miteinander übereinstimmen, wurden keine Daten verändert. 1.4 Arbeitsumgebung Die forensiche Untersuchung wurde auf einem Notebook mit dem Linux Betriebssystem Ubuntu 11.10 durchgeführt. Als forensische Software wurde The Sleuth Kit mit der Ver- 4

sion 3.2.3 und foremost mit der Version 8 eingesetzt. Ergänzt wurde diese Toolsammlung durch die Linux Bordmittel hexdump, dd, gedit, sha1sum, cat, ls usw. Der Abschlieÿende Virenscan wurde mit einem Windows 7 PC durchgeführt. Zum Mounten des Images kam die Freeare OSF Mount zum Einsatz. Der Scan wurde mit AVG 2012.0.1913 mit der Version 2112/4808 der Signaturdatenbank durchgeführt. 5

2 Zusammenfassung Bei der forensischen Analyse des Datenträgers mit dem Aktenzeichen 2011/01/#6 wurden 15 kinderpornographische Schriften gefunden. Davon waren 7 gelöscht und konnten mit der Hilfe von forensischer Software rekonstruiert werden. Die 8 nicht gelöschten Dateien waren an einem ungewöhnlichen Ort versteckt. Es schien als sollen sie verborgen bleiben und nicht sofort gefunden werden. Leider kann über die konkrete Herkunft nichts gesagt werden. Obgleich es Hinweise für einen Bezug der Kinderpornographie via E-Mail gibt. Der Nutzer dieses PCs erhielt am 20.12.11 eine E-Mail an die E-Mail-Adresse mrniceguy1960@dingsi.net von thebadguy@lavabit.com. Die Zahl 1960 in der E-Mail-Adresse des PC Nutzers korrespondiert mit dem Geburtsjahr des Beschuldigten. Auÿerdem war der Nutzer mit dem Name Mr- NiceGuy am PC angemeldet. Der Inhalt der E-Mail mit dem Betre Neues Junggemüse wächst heran! lautet: Danke für die Überweisung des Geldes! Ich werde dir in der nächsten Email dann sobald ich was Neues habe dir das Bild schicken. Das Datum des Empfangs der E-Mail passt zu dem Datum der Erstellung der kinderpornographischen Dateien. Die Antwort auf die E-Mail vom Nutzer war lediglich Danke Dir! und erfolgte vermutlich wenige Minuten später. Über die Antwort kann man nur sagen, dass sie verfasst wurde, nicht aber ob sie jemals versendet wurde, weil sie sich im Entwürfe-Ordner befand. Es wurden keine weiteren Nachrichten gefunden, was sehr ungewöhnlich für einen Mailclient ist. Es deutet auf eine bewusste Löschung von andern E-Mails hin. Die Gesamtzusammenhänge macht es wahrscheinlich, dass einen Bezug via E-Mail erfolgte. Weiterhin wurde ein ICQ Chat-Protokoll gefunden, in dem sich eine Person die sich als Susi ausgibt mit einer anderen Person namens Maria von Büttel chattet. Es ist eine schwierig einzuordnende Unterhaltung, die erst völlig normal zwischen zwei Kindern geführt wird. Allerdings hinterlassen die Fragen vom PC Nutzer meine eltern haben mir eine webcam geschenkt hast du auch eine? und aber wollen wir uns mal zum spielen treen? wenn du alleine bist dann schicke ich meinen papa vorbei der dich abholt kein eindeutiges Bild. Es bleibt zu klären, wer Zugang zu dem PC hatte und ob der beschuldigte einem Kind namens Susi Zugang zum PC ermöglichte. Verwunderlich ist es, dass in zwei anderen ICQ-Prolen keine Daten gefunden werden konnten. Es kommt wieder der Verdacht auf, dass jemand Daten zur Verschleierung gelöscht hat. Auÿerdem wurden Zugangsdaten für soziale Netzwerke gefunden, deren Mitglieder hauptsächlich Kinder sind. Diese Zugangsdaten benden sich in einer Textdatei mit der Überschrift SchülerVZ Fake-Konten:. Zu einer Verbreitung oder einer Mitgliedschaft in einem internationalen kinderpornographie Ring wurden keine Hinweise gefunden. 6

3 technische Zusammenfassung Die Grundlage für diese forensische Untersuchung bot ein Image des Datenträgers, welches mittels dd erzeugt wurde. Um dabei das Beweismittel vor einer Veränderung zu schützen, wurde es unter Zuhilfenahme eines Writeblockers an die forensische Workstation angeschlossen. Das Image des gesicherten Datenträgers (image#6_copy.dd) hat eine Gröÿe von 10500 MByte. Durch eine Analyse des MBR konnte die Partitionsstruktur ermittelt werden. Der Datenträger enthält neben dem MBR vier Bereiche. Zwei primäre Partitionen (part0.dd, part1.dd) und zwei nicht allozierte Bereiche (unalloc0.dd, unalloc1.dd). Veranschaulicht wird die Struktur in der Abbildung 3. Abbildung 3: Skizze des Datenträgers. Eine weiter Untersuchung der nicht allozierten Bereiche unalloc0.dd und unalloc1.dd konnte entfallen, da die Ansicht des Hexdumps keine Sinnvollen Daten zeigte. Unalloc0.dd enthält nur Bytes mit dem Wert 0x00 (vgl. Listing 2). Unalloc1.dd enthält in einem ersten Block nur die Werte 0x00 und ab dem Oset von 100000 nur noch Bytes mit dem Wert 0x3e (vgl. Listing 3). Alle Daten bezüglich des Datenträgerlayouts erscheinen konsistent, eine bewusste Veränderung kann nahezu ausgeschlossen werden. An dieser Stelle kam aber schon die Vermutung auf, dass es sich bei der ersten primären Partition um eine vom System automatisch angelegten Partition handele. Ein so genannter Boot Loader, der seit Windows Vista den Bootvorgang des Betriebssystems steuert. Die Dateisystemanalyse zeigte, dass es sich bei der part0.dd tatsächlich um einen NTFS Boot Loader handelt. Diese Erkenntnis wurde durch Vergleiche zu einer Referenzinstallation von Windows 7 32 Bit in einer virtuellen Maschine ermöglicht. Die dabei entstandene virtuelle Festplatte wurde mit den gleichen Werkzeugen wie part0.dd untersucht und die Ergebnisse stets verglichen. Die Ausgaben des Programms fsstat, die $MFT Dateien (vgl. Listing 7 & 6) und die $Bitmap Dateien (vgl. Listing 8 & 9) zeigten keine einzige Abweichung. Später bei der Dateienanalyse wurden die Verzeichnisbäume (vgl. Listing 13) verglichen, dort kam es nur zu einem marginalen Unterschied. Dieser ist aber zu erklären. Somit folgere ich, dass die erste primäre NTFS Partition nicht durch den Nutzer verändert wurde. 7

Bei der zweiten primären NTFS Partition konnten keine Ungereimtheiten festgestellt werden. Es konnte ohne Probleme gemountet werden. Deswegen kann auch hier davon ausgegangen werden, dass die Struktur des Dateisystems nicht nachträglich manipuliert wurde, um von etwas abzulenken oder etwas zu verstecken. Abschlieÿend wurde eine Dateienanalyse auf der NTFS Partition part1.dd durchgeführt. Mit Hilfe von nd wurden im Verzeichnis /Windows/System32/XPSViewer/de- DE/cong-mui/ sechs kinderponographische Schriften gefunden. Sie haben die Dateinamen young_preteen_porn-003., young_preteen_porn-004., young_preteen_porn- 005., young_preteen_porn-011., young_preteen_porn-012. und young_preteen_porn-015.. An der gleichen Stelle wurden die Header von bereits gelöschten Dateien rekonstruiert. Es handelt sich um die Dateinamen young_preteen_porn-0xx., wobei xx := 03, 04, 05, 11, 12, 15. Es können keine weiteren Aussagen über den Inhalt der Dateien getroen werden. Eine Suche mit foremost hat weitere bereits gelöschte Dateien wiederhergestellt. Leider konnten die Dateinamen nicht rekonstruiert werden. Es handelt sich um 24 Dateien, davon aber nur 7 mit neuen Motiven. Somit ist die Anzahl der gefundenen kinderporographischen Schriften mit 15 zu beziern. Davon waren 7 gelöscht und 8 an einer unüblichen Stelle abgelegt. Weiterhin wurde ein ICQ Chat-Protokoll gefunden in dem sich eine Person die sich als Susi ausgibt mit einer anderen Person namens Maria von Büttel chattet. Das Protokoll (vgl. Listing 18) wurde aus einer SQLite Datenbank extrahiert, die im Verzeichnis /User/MrNiceGuy/AppData/Roaming/ICQ/600247812 gefunden wurde. Verwunderlich war es, dass in zwei anderen Prolen keine Daten gefunden wurden. Es ist eine schwierig einzuordnende Unterhaltung, die erst völlig normal zwischen zwei Kindern geführt wird. Allerdings hinterlassen die Fragen meine eltern haben mir eine webcam geschenkt hast du auch eine? und aber wollen wir uns mal zum spielen treen? wenn du alleine bist dann schicke ich meinen papa vorbei der dich abholt kein eindeutiges Bild. Es bleibt zu klären wer Zugang zu dem PC hatte. Auÿerdem wurde eine E-Mail in den Anwendungsdaten des Mailclient Thunderbird gefunden. Der Pfad lautet /Users/MrNiceGuy/AppData/Roaming/Thunderbird/ Proles/0b94uken.default/Mail/mail.dingsi.net/. Die Inhalte der Dateien Inbox und Drafts enthalten jeweils eine E-Mail. Die E-Mail aus der Inbox mit dem Betre Neues Junggemüse wächst heran! enthält den Nachrichtentext Danke für die Überweisung des Geldes! Ich werde dir in der nächsten Email dann sobald ich was Neues habe dir das Bild schicken." Die Antwort wurde in Drafts gefunden. Es kann deswegen nichts darüber gesagt werden, ob die Antwort tatsächlich versendet wurde. 8

Die Formulierungen lassen vermuten, dass es in der Korrespondenz um Kinderpornographie ging, vorallem im Zusammenhang mit den gefundenen Bildern, Accounts für soziale Netzwerke für Minderjährige und dem ICQ Protokoll. In der Datei Kontakte.txt wurden Zugangsdaten für soziale Netzwerke gefunden. Der Pfad dazu lautet /mnt/dd.image/users/public/music/sample/music/kontakte.txt. Es handelt sich um zwei Zugänge für SchülerVZ und drei Zugänge für Flirt Life. Die Überschrift für die SchülerVZ Konten lautet: SchülerVZ Fake-Konten. Die auf dem System gefundenen Spuren von Schadsoftware sind nicht eindeutig. Es kann bezweifelt werden, dass es tatsächlich Viren auf dem System gab. Fest steht, dass es zum Zeitpunkt der Beschlagnahmung mit an Sicherheit grenzender Wahrscheinlickeit keine Schadsoftware gab. 9

4 Detaillierter Bericht In diesem Abschnitt werden die gesamten Ergebnisse der Untersuchung detailliert dargestellt. Die Abfolge ist chronologisch nach dem Vorgehen des Gutachters geordnet. Zuerst wurde der Datenträger analysiert, anschlieÿend das Dateisystem und die Dateien. 4.1 Datenträgeranalyse Das Image des gesicherten Datenträgers (image#6_copy.dd) hat eine Gröÿe von 10500 MByte was genau 11010048000 Byte entspricht. Die Begrie HDD Block, kurz Block oder HDB werden in diesem Abschnitt äquivalent verwendete und meinen immer eine 512 Byte groÿe Dateneinheit. Die Analyse des Master Boot Record (MBR), kopiert in mbr.dd, liefert folgende Ergebnisse: Adresse (hex) Beschreibung Wert (hex) Interpretation 000-1b7 Boot Code 9a... 33 irrelevant 1b8-1bb WIN Signature ea 06 7f 96 irrelevant 1bc - 1bd 0x00 00 korrekt 1be - 1cd Partition table Entry#1 vgl. Entry#1 vgl. Entry#1 1ce - 1dd Partition table Entry#2 vgl. Entry#2 vgl. Entry#2 1de - 1ed Partition table Entry#3 00 leer 1ee - 1fd Partition table Entry#4 00 leer 1FE - 1FF MBR Signature aa 55 korrekt Der Boot Code wurde mittles dd in die Datei mbr_bc.dd extrahiert. Ein Vergleich mit einem Windows 7 32bit referenz Boot Code (win7mbr.dd) zeigte, dass es keine Unterschiede gibt. Weiterhin zeigt der MBR das es zwei primäre Partitionen geben soll. Zuerst ein Dump des Entry#1: 80 20 21 00 07 df 13 0c 00 08 00 00 00 20 03 00 Anzahl Bytes Beschreibung Wert (hex) Interpretation 1 Bootable ag 80 bootfähig 3 CHS rst block 00 21 20 irrelevant 1 Pratition type 07 NTFS (Windows) 3 CHS last block 0c 13 df irrelevant 4 LBA rst block 00 00 08 00 2048 (dec) 4 Size in blocks 00 03 20 00 204800 (dec) Den Informationen aus der Tabelle zur Folge, handelt es sich um eine Partition die bootfähig ist. Sie enthält ein NTFS Dateisystem, dass vorzugsweise von Microsofts Windows- Betriebssystemen verwendet wird. Die erste Partition hat eine Gröÿe von 204800 HDB (=100 MByte) und beginnt bei HDB 2048. 10

Der Dump von Entry#2: 00 df 14 0c 07 fe 00 28 03 00 00 d0 3c 01 Anzahl Bytes Beschreibung Wert (hex) Interpretation 1 Bootable ag 00 nicht bootfähig 3 CHS rst block 00 21 20 irrelevant 1 Pratition type 07 NTFS (Windows) 3 CHS last block 0c 13 df irrelevant 4 LBA rst block 00 00 08 00 206848 (dec) 4 Size in blocks 00 03 20 00 20762624 (dec) Nach den Informationen aus der Tabelle zu Entry#2, handelt es sich wieder um eine Partition mit einem NTFS Dateisystem. Sie ist jedoch nicht bootfähig und hat eine Gröÿe von 20762624 HDB (=10138 MByte) und beginnt bei HDB 206848. Die gewonnen Kenntnisse wurden mit mmls validiert: 1 DOS P a r t i t i o n Table 2 O f f s e t Sector : 0 3 Units are in 512 byte s e c t o r s 4 5 Slot Start End Length Description 6 0 0: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 7 01: 0000000000 0000002047 0000002048 Unallocated 8 0 2: 0 0: 0 0 0000002048 0000206847 0000204800 NTFS ( 0 x07 ) 9 0 3: 0 0: 0 1 0000206848 0020969471 0020762624 NTFS ( 0 x07 ) 10 04: 0020969472 0021503999 0000534528 Unallocated Listing 1: Ausgabe von mmls Die Informationen stimmen überein und erschienen konsistent. Es ergibt sich folgende Skizze: Abbildung 4: Skizze des Datenträgers. Bei dem Abgleich dieser Informationen mit einer Vergleichsinstallation von Windows 7 32 Bit fällt auf, dass die ersten drei Abschnitte (MBR, alloc0 und part0) genau die selbe Anordnung und Gröÿe haben. Weiter Untersuchungen hierzu folgen in Abschnitt 4.2. 11

Eine genauere Analyse der beiden nicht allozierten Bereiche mit hexdump zeigt, dass unalloc0 keine sinnvollen Daten enthält. Also nur Bytes mit dem Wert 0x00: 1 $user : hexdump C unalloc0. dd 2 00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00................ 3 4 000 f f e 0 0 5 Listing 2: Inhalt von unalloc0 Ähnliches gilt für den zweiten nicht allozierten Bereich. In dem gesamten Bereich gibt es ab dem Oset 0x100000 nur noch Bytes mit dem Wert 0x3e, davor nur den Wert 0x00: 1 $user : hexdump C unalloc1. dd 2 00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00................ 3 4 00100000 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e 3e >>>>>>>>>>>>>>>> 5 6 10500000 7 Listing 3: Inhalt von unalloc1 Somit ist eine weitere Untersuchung der nicht allozierten Bereiche hinfällig. Der nächste Abschnitt behandelt nur noch die beiden Partitionen part0 und part1. 4.2 Dateisystemanalyse Im folgenden Abschnitt werden die Dateisysteme der Partitionen part0.dd und part1.dd genauer untersucht. Im vorherigen Abschnitt konnte schon gezeigt werden, dass es die einzigen Bereiche sind, wo es relevante Daten geben kann. Der Ausdruck Sektor meint im Folgenden immer eine Zuordnungseinheit von 4096 Byte = 8 HDB. 4.2.1 Erste primäre Partition - part0.dd In Abschnitt 4.1 wurde bereits eine These für die erste primäre Partition (part0.dd) angedeutet. Seit Windows Vista existiert eine Partition die das Betriebssystem zum booten verwendet. Diese Partition wird auch als Boot Manager (Bootmgr) oder auch Boot Loader (Bootldr) bezeichnet. Um diese Information zu verizieren, wurde eine Referenzinstallation von Windows 7 32 Bit in eine virtuelle Maschine installiert. Die virtuelle 12

Festplatte (vhd) wurde den gleichen Untersuchungen unterzogen, wie part0.dd. Dazu wurde eine Kopie mit dd angefertigt: win7bldr.dd Der Vergleich der SHA1 Prüfsumme zeigt, dass es sich nicht um genau die selben Daten handelt, was bei genauerer Überlegung aber nicht verwundert. Die Abweichung kann allein schon durch unterschiedliche Zeitstempel entstanden sein. Der Annahme folgend, es handelt sich wirklich wie vom MBR bezeichnet um eine NTFS Partition, würden wir im ersten Sektor den Boot Block erwarten. Die Informationen aus der folgenden Tabelle sind dem ersten HDB des ersten Sektors des Dateisystems entnommen. Adresse (dec) Beschreibung Wert (hex) Interpretation 00-02 Boot Code eb 52 90 jump 0x52; NOP; 03-10 OEM Name 4e 54 46 53 20 20 20 20 NTFS 11-12 Size of HDB 0200 512 Byte 13-13 Size of sector 08 8 HDB 14-15 Reserved HDB 00 00 0 16-20 Unused - - 21-21 Media descriptor f8 Festplatte 22-39 Unused - - 40-47 Total HDB in fs 03 1f 204799 (dec.) 48-55 Starting sector MFT 21 55 8533 (dec.) 56-63 Starting sector MFT Mirror 02 2 64-64 Size MFT f6 246 (dec.) 65-67 Unused - - 68-68 Size of index record 01 1 69-71 Unused - - 72-79 Serial number 1c 10 ef d8 10 ef b6 c4-80 - 83 Unused - - 84-509 Boot code aa 55-510 - 511 Signature aa 55 korrekt Die ersten zwei Byte verweisen auf den Bootcode von Byte 84 (0x52) bis 509. Der OEM Name ist ein weiterer Hinweis dafür, dass es sich um ein NTFS Dateisystem handelt. Die Eingangs denierten Begrie Sektor und HDB werden hier nochmals veriziert. Das Dateisystem enthält 204799 HDB. Dies entspricht genau der Gröÿe unserer Partition ohne die Kopie des Boot Blocks. Das Dateisystem hat als eine Gröÿe von 104857088 Byte. Die MFT beginnt im Sektor 8533, die Kopie MFT Mirror beginnt im 2 Sektor. Die Signatur (0xaa55) ist korrekt. Um diese Informationen zu verizieren wurde das Tool fsstat verwendet: 1 $user : f s s t a t f n t f s part0. dd 13

2 FILE SYSTEM INFORMATION 3 4 F i l e System Type : NTFS 5 Volume S e r i a l Number : 1C10EFD810EFB6C4 6 OEM Name: NTFS 7 Volume Name: System r e s e r v i e r t 8 Version : Windows XP 9 10 METADATA INFORMATION 11 12 F i r s t Cluster of MFT: 8533 13 F i r s t Cluster of MFT Mirror : 2 14 Size of MFT Entries : 1024 bytes 15 Size of Index Records : 4096 bytes 16 Range : 0 256 17 Root Directory : 5 18 19 CONTENT INFORMATION 20 21 Sector Size : 512 22 Cluster Size : 4096 23 Total Cluster Range : 0 25598 24 Total Sector Range : 0 204798 25 26 $AttrDef Attribute Values : 27 $STANDARD_INFORMATION (16) Size : 48 72 Flags : Resident 28 $ATTRIBUTE_LIST (32) Size : No Limit Flags : Non r e s i d e n t 29 $FILE_NAME (48) Size : 68 578 Flags : Resident, Index 30 $OBJECT_ID (64) Size : 0 256 Flags : Resident 31 $SECURITY_DESCRIPTOR (80) Size : No Limit Flags : Non r e s i d e n t 32 $VOLUME_NAME (96) Size : 2 256 Flags : Resident 33 $VOLUME_INFORMATION (112) Size : 12 12 Flags : Resident 34 $DATA (128) Size : No Limit Flags : 35 $INDEX_ROOT (144) Size : No Limit Flags : Resident 36 $INDEX_ALLOCATION (160) Size : No Limit Flags : Non r e s i d e n t 37 $BITMAP (176) Size : No Limit Flags : Non r e s i d e n t 38 $REPARSE_POINT (192) Size : 0 16384 Flags : Non r e s i d e n t 39 $EA_INFORMATION (208) Size : 8 8 Flags : Resident 40 $EA (224) Size : 0 65536 Flags : 41 $LOGGED_UTILITY_STREAM (256) Size : 0 65536 Flags : Non r e s i d e n t 42 Listing 4: Ausgabe von fsstat für part0.dd Die Ausgabe liefert neben weiteren Informationen die gleichen Ergebnisse und veriziert damit die Aussagen aus der Tabelle. Zum Vergleich wird das Programm fsstat nun auf win7bldr.dd angewendet: 1 $user : f s s t a t f n t f s win7bldr. dd 2 FILE SYSTEM INFORMATION 3 4 F i l e System Type : NTFS 5 Volume S e r i a l Number : D29C83559C8332D1 14

6 OEM Name: NTFS 7 Volume Name: System r e s e r v i e r t 8 Version : Windows XP 9 10 METADATA INFORMATION 11 12 F i r s t Cluster of MFT: 8533 13 F i r s t Cluster of MFT Mirror : 2 14 Size of MFT Entries : 1024 bytes 15 Size of Index Records : 4096 bytes 16 Range : 0 256 17 Root Directory : 5 18 19 CONTENT INFORMATION 20 21 Sector Size : 512 22 Cluster Size : 4096 23 Total Cluster Range : 0 25598 24 Total Sector Range : 0 204798 25 26 $AttrDef Attribute Values : 27 $STANDARD_INFORMATION (16) Size : 48 72 Flags : Resident 28 $ATTRIBUTE_LIST (32) Size : No Limit Flags : Non r e s i d e n t 29 $FILE_NAME (48) Size : 68 578 Flags : Resident, Index 30 $OBJECT_ID (64) Size : 0 256 Flags : Resident 31 $SECURITY_DESCRIPTOR (80) Size : No Limit Flags : Non r e s i d e n t 32 $VOLUME_NAME (96) Size : 2 256 Flags : Resident 33 $VOLUME_INFORMATION (112) Size : 12 12 Flags : Resident 34 $DATA (128) Size : No Limit Flags : 35 $INDEX_ROOT (144) Size : No Limit Flags : Resident 36 $INDEX_ALLOCATION (160) Size : No Limit Flags : Non r e s i d e n t 37 $BITMAP (176) Size : No Limit Flags : Non r e s i d e n t 38 $REPARSE_POINT (192) Size : 0 16384 Flags : Non r e s i d e n t 39 $EA_INFORMATION (208) Size : 8 8 Flags : Resident 40 $EA (224) Size : 0 65536 Flags : 41 $LOGGED_UTILITY_STREAM (256) Size : 0 65536 Flags : Non r e s i d e n t 42 Listing 5: Ausgabe von fsstat für win7bldr.dd Der einzige Unterschied ist bisher die Seriennummer des Datenträgers. Im nächsten Schritt sollen die MFT Dateien von part0.dd und win7bldr.dd verglichen werden. Das Programm istat zeigt für part0.dd folgendes Ergebnis: 1 $user : i s t a t f n t f s part0. dd 0 2 MFT Entry Header Values : 3 Entry : 0 Sequence : 1 4 $LogFile Sequence Number : 1057514 5 Allocated F i l e 6 Links : 1 7 8 $STANDARD_INFORMATION Attribute Values : 15

9 Flags : Hidden, System 10 Owner ID : 0 11 Security ID : 256 ( ) 12 Created : Tue Dec 6 1 1 : 2 9 : 2 8 2011 13 F i l e Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 14 MFT Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 15 Accessed : Tue Dec 6 1 1 : 2 9 : 2 8 2011 16 17 $FILE_NAME Attribute Values : 18 Flags : Hidden, System 19 Name: $MFT 20 Parent MFT Entry : 5 Sequence : 5 21 Allocated Size : 16384 Actual Size : 16384 22 Created : Tue Dec 6 1 1 : 2 9 : 2 8 2011 23 F i l e Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 24 MFT Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 25 Accessed : Tue Dec 6 1 1 : 2 9 : 2 8 2011 26 27 Attributes : 28 Type : $STANDARD_INFORMATION (16 0) Name: N/A Resident s i z e : 72 29 Type : $FILE_NAME (48 3) Name: N/A Resident s i z e : 74 30 Type : $DATA (128 1) Name: N/A Non Resident s i z e : 262144 i n i t _ s i z e : 262144 31 8533 8534 8535 8536 8537 8538 8539 8540 32 8541 8542 8543 8544 8545 8546 8547 8548 33 8549 8550 8551 8552 8553 8554 8555 8556 34 8557 8558 8559 8560 8561 8562 8563 8564 35 8565 8566 8567 8568 8569 8570 8571 8572 36 8573 8574 8575 8576 8577 8578 8579 8580 37 8581 8582 8583 8584 8585 8586 8587 8588 38 8589 8590 8591 8592 8593 8594 8595 8596 39 Type : $BITMAP (176 5) Name: N/A Non Resident s i z e : 4104 i n i t _ s i z e : 4104 40 8532 8018 41 Listing 6: Ausgabe von istat für part0.dd MFT Eintrag. Die Ausgabe für istat auf win7bldr.dd: 1 $user : i s t a t f n t f s win7bldr. dd 0 2 MFT Entry Header Values : 3 Entry : 0 Sequence : 1 4 $LogFile Sequence Number : 1057514 5 Allocated F i l e 6 Links : 1 7 8 $STANDARD_INFORMATION Attribute Values : 9 Flags : Hidden, System 10 Owner ID : 0 11 Security ID : 256 ( ) 12 Created : Wed Jan 25 1 3 : 1 1 : 4 8 2012 13 F i l e Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 16

14 MFT Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 15 Accessed : Wed Jan 25 1 3 : 1 1 : 4 8 2012 16 17 $FILE_NAME Attribute Values : 18 Flags : Hidden, System 19 Name: $MFT 20 Parent MFT Entry : 5 Sequence : 5 21 Allocated Size : 16384 Actual Size : 16384 22 Created : Wed Jan 25 1 3 : 1 1 : 4 8 2012 23 F i l e Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 24 MFT Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 25 Accessed : Wed Jan 25 1 3 : 1 1 : 4 8 2012 26 27 Attributes : 28 Type : $STANDARD_INFORMATION (16 0) Name: N/A Resident s i z e : 72 29 Type : $FILE_NAME (48 3) Name: N/A Resident s i z e : 74 30 Type : $DATA (128 1) Name: N/A Non Resident s i z e : 262144 i n i t _ s i z e : 262144 31 8533 8534 8535 8536 8537 8538 8539 8540 32 8541 8542 8543 8544 8545 8546 8547 8548 33 8549 8550 8551 8552 8553 8554 8555 8556 34 8557 8558 8559 8560 8561 8562 8563 8564 35 8565 8566 8567 8568 8569 8570 8571 8572 36 8573 8574 8575 8576 8577 8578 8579 8580 37 8581 8582 8583 8584 8585 8586 8587 8588 38 8589 8590 8591 8592 8593 8594 8595 8596 39 Type : $BITMAP (176 5) Name: N/A Non Resident s i z e : 4104 i n i t _ s i z e : 4104 40 8532 8018 41 Listing 7: Ausgabe von istat für win7bldr.dd MFT Eintrag. Die $Data Dateien der beiden MFT Dateien allozieren die gleiche Anzahl Sektoren in der gleichen Reihenfolge. Auch alle weiteren, die Gröÿe betreenden Informationen ergeben ein konsistentes Bild. Es sind Hinweise, dass es sich um einen unveränderten Boot Loader handelt. Lediglich die Zeitstempel sind verschieden. Das hat den einfachen Grund, dass die Betriebssysteme zu unterschiedlichen Zeitpunkten installiert wurden. Abschlieÿend sollen noch die beiden $Bitmap Dateien verglichen werden. Dazu werden zuerst die Dateien mit Hilfe von istat verglichen und anschlieÿend mit Hilfe des Programms blkcat die Bitmaps selbst. 1 $user : i s t a t f n t f s part0. dd 6 2 MFT Entry Header Values : 3 Entry : 6 Sequence : 6 4 $LogFile Sequence Number : 1057724 5 Allocated F i l e 6 Links : 1 7 17

8 $STANDARD_INFORMATION Attribute Values : 9 Flags : Hidden, System 10 Owner ID : 0 11 Security ID : 256 ( ) 12 Created : Tue Dec 6 1 1 : 2 9 : 2 8 2011 13 F i l e Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 14 MFT Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 15 Accessed : Tue Dec 6 1 1 : 2 9 : 2 8 2011 16 17 $FILE_NAME Attribute Values : 18 Flags : Hidden, System 19 Name: $Bitmap 20 Parent MFT Entry : 5 Sequence : 5 21 Allocated Size : 4096 Actual Size : 3200 22 Created : Tue Dec 6 1 1 : 2 9 : 2 8 2011 23 F i l e Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 24 MFT Modified : Tue Dec 6 1 1 : 2 9 : 2 8 2011 25 Accessed : Tue Dec 6 1 1 : 2 9 : 2 8 2011 26 27 Attributes : 28 Type : $STANDARD_INFORMATION (16 0) Name: N/A Resident s i z e : 72 29 Type : $FILE_NAME (48 2) Name: N/A Resident s i z e : 80 30 Type : $DATA (128 4) Name: N/A Non Resident s i z e : 3200 i n i t _ s i z e : 3200 31 8530 32 Listing 8: Ausgabe von istat für part0.dd Bitmap. 1 $user : i s t a t f n t f s win7bldr. dd 6 2 MFT Entry Header Values : 3 Entry : 6 Sequence : 6 4 $LogFile Sequence Number : 1057724 5 Allocated F i l e 6 Links : 1 7 8 $STANDARD_INFORMATION Attribute Values : 9 Flags : Hidden, System 10 Owner ID : 0 11 Security ID : 256 ( ) 12 Created : Wed Jan 25 1 3 : 1 1 : 4 8 2012 13 F i l e Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 14 MFT Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 15 Accessed : Wed Jan 25 1 3 : 1 1 : 4 8 2012 16 17 $FILE_NAME Attribute Values : 18 Flags : Hidden, System 19 Name: $Bitmap 20 Parent MFT Entry : 5 Sequence : 5 21 Allocated Size : 4096 Actual Size : 3200 22 Created : Wed Jan 25 1 3 : 1 1 : 4 8 2012 23 F i l e Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 24 MFT Modified : Wed Jan 25 1 3 : 1 1 : 4 8 2012 25 Accessed : Wed Jan 25 1 3 : 1 1 : 4 8 2012 26 18

27 Attributes : 28 Type : $STANDARD_INFORMATION (16 0) Name: N/A Resident s i z e : 72 29 Type : $FILE_NAME (48 2) Name: N/A Resident s i z e : 80 30 Type : $DATA (128 4) Name: N/A Non Resident s i z e : 3200 i n i t _ s i z e : 3200 31 8530 32 Listing 9: Ausgabe von istat für win7bldr.dd Bitmap. Das Programm erzeugt wieder genau die gleichen Ausgaben für alle Informationen bis auf die Zeitstempel. Der MFT Eintrag der Bitle verweist jeweils auf den Sektor 8530. Dort muss dann die eigentliche Bitmap stehen. Die Bitmap zeigt welche Sektoren alloziert sind und welche nicht alloziert sind. Zur Validierung dieser Theorie wird das Programm blkcat verwendet: 1 $user : blkcat f n t f s part0. dd 8530 hexdump 2 0000000 f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f 3 4 0000280 f f f f f f f f f f f f f f f f 007 f 0000 0000 0000 5 0000290 0000 0000 0000 0000 0000 0000 0000 0000 6 7 00003 a0 0000 0000 0000 0000 0000 f f f c f f f f f f f f 8 00003b0 f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f 9 10 0000410 f f f f f f f f 003 f 0000 0000 0000 0000 0000 11 0000420 f f f 0 f f f f f f f f f f f f 00 f f f f f c f f f f f f f f 12 0000430 f f f f 001 f 0000 0000 0000 0000 0000 0000 13 0000440 0000 0000 0000 0000 0000 0000 0000 0000 14 15 0000 c70 0000 0000 0000 0000 0000 0000 0000 8000 16 0000 c80 0000 0000 0000 0000 0000 0000 0000 0000 17 18 0001000 19 Listing 10: Ausgabe von blkcat für part0.dd Bitmap. 1 $user : blkcat f n t f s win7bldr. dd 8530 hexdump 2 0000000 f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f 3 4 0000280 f f f f f f f f f f f f f f f f 007 f 0000 0000 0000 5 0000290 0000 0000 0000 0000 0000 0000 0000 0000 6 7 00003 a0 0000 0000 0000 0000 0000 f f f c f f f f f f f f 8 00003b0 f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f f 9 10 0000410 f f f f f f f f 003 f 0000 0000 0000 0000 0000 11 0000420 f f f 0 f f f f f f f f f f f f 00 f f f f f c f f f f f f f f 12 0000430 f f f f 001 f 0000 0000 0000 0000 0000 0000 13 0000440 0000 0000 0000 0000 0000 0000 0000 0000 14 15 0000 c70 0000 0000 0000 0000 0000 0000 0000 8000 19

16 0000 c80 0000 0000 0000 0000 0000 0000 0000 0000 17 18 0001000 19 Listing 11: Ausgabe von blkcat für win7bldr.dd Bitmap. Die Ausgaben für die beiden Bitmaps sind genau die selben. Das heiÿt, dass genau die selben Sektoren für die Dateien des NTFS verwendet werden. Aus diesen Tatsachen und den Hinweisen aus den vorherigen Programmausgaben schlieÿe ich, dass es sich um genau die gleichen Boot Loader handelt. Sie sind nicht durch den Nutzer verändert worden. Dies ist aus der Tatsache zu folgern, dass die Referenzinstallation von mir nicht verändert wurde und diese mit der verdächtigen Partition part0.dd übereinstimmt. Eine letzte Bestätigung dieser Theorie wird es im Abschnitt 4.3 zur Dateienanalyse geben. 4.2.2 Zweite primäre Partition - part1.dd Adresse (dec) Beschreibung Wert (hex) Interpretation 00-02 Boot Code eb 52 90 jump 0x52; NOP; 03-10 OEM Name 4e 54 46 53 20 20 20 20 NTFS 11-12 Size of HDB 0200 512 Byte 13-13 Size of sector 08 8 HDB 14-15 Reserved HDB 00 00 0 16-20 Unused - - 21-21 Media descriptor f8 Festplatte 22-39 Unused - - 40-47 Total HDB in fs 01 3c cf 20762623 (dec.) 48-55 Starting sector MFT 0c 00 00 786432 (dec.) 56-63 Starting sector MFT Mirror 02 2 64-64 Size MFT f6 246 (dec.) 65-67 Unused - - 68-68 Size of index record 01 1 69-71 Unused - - 72-79 Serial number ca 78 0a 08 78 09 f4 4b - 80-83 Unused - - 84-509 Boot code aa 55-510 - 511 Signature aa 55 korrekt Die ersten zwei Byte verweisen auf den Bootcode von Byte 84 (0x52) bis 509. Der OEM Name ist ein weiterer Hinweis dafür, dass es sich um ein NTFS Dateisystem handelt. Es werden die gleichen Gröÿen für Sektoren und HDB wie bei der ersten Partition festgelegt. Das Dateisystem enthält 20762623 HDB, was genau der Gröÿe des Images ohne die Kopie des Boot Blocks entspricht. Das Dateisystem hat als eine Gröÿe von 10630462976 Byte. Die MFT beginnt im Sektor 786432, die Kopie MFT Mirror beginnt im 2 Sektor. 20

Die Signatur (0xaa55) ist korrekt. Um diese Informationen zu verizieren wurde das Tool fsstat verwendet: 1 $user : f s s t a t f n t f s part1. dd 2 FILE SYSTEM INFORMATION 3 4 F i l e System Type : NTFS 5 Volume S e r i a l Number : CA780A087809F44B 6 OEM Name: NTFS 7 Version : Windows XP 8 9 METADATA INFORMATION 10 11 F i r s t Cluster of MFT: 786432 12 F i r s t Cluster of MFT Mirror : 2 13 Size of MFT Entries : 1024 bytes 14 Size of Index Records : 4096 bytes 15 Range : 0 47872 16 Root Directory : 5 17 18 CONTENT INFORMATION 19 20 Sector Size : 512 21 Cluster Size : 4096 22 Total Cluster Range : 0 2595326 23 Total Sector Range : 0 20762622 24 25 $AttrDef Attribute Values : 26 $STANDARD_INFORMATION (16) Size : 48 72 Flags : Resident 27 $ATTRIBUTE_LIST (32) Size : No Limit Flags : Non r e s i d e n t 28 $FILE_NAME (48) Size : 68 578 Flags : Resident, Index 29 $OBJECT_ID (64) Size : 0 256 Flags : Resident 30 $SECURITY_DESCRIPTOR (80) Size : No Limit Flags : Non r e s i d e n t 31 $VOLUME_NAME (96) Size : 2 256 Flags : Resident 32 $VOLUME_INFORMATION (112) Size : 12 12 Flags : Resident 33 $DATA (128) Size : No Limit Flags : 34 $INDEX_ROOT (144) Size : No Limit Flags : Resident 35 $INDEX_ALLOCATION (160) Size : No Limit Flags : Non r e s i d e n t 36 $BITMAP (176) Size : No Limit Flags : Non r e s i d e n t 37 $REPARSE_POINT (192) Size : 0 16384 Flags : Non r e s i d e n t 38 $EA_INFORMATION (208) Size : 8 8 Flags : Resident 39 $EA (224) Size : 0 65536 Flags : 40 $LOGGED_UTILITY_STREAM (256) Size : 0 65536 Flags : Non r e s i d e n t 41 Listing 12: Ausgabe von fsstat für part1.dd Die Ausgabe liefert neben weiteren Informationen die gleichen Ergebnisse und veriziert damit die Aussagen aus der Tabelle. Das Dateisystem ist in dem beschriebenen Zustand mountfähig. Dazu wurde das Image 21

part1.dd mit dem Befehl sudo mount -t ntfs -o ro./part1.dd /mnt/part1.dd gemountet. Die Option -o ro stellt sicher, dass nur lesende Zugrie erfolgen. Dabei gab es keine Fehlermeldung. 22

4.3 Dateienanalyse In dieser Sektion wird die Suche nach den Dateien, welche belastendes oder entlastendes Material enthalten könnten beschrieben. Auÿerdem werden die Ergebnisse dieser Suche dargestellt. 4.3.1 NTFS Partition - part0.dd Bisher gibt es Hinweise das es im Dateisystem dieser Partition keine Änderungen durch den Nutzer gegeben hat. Die aussagekräftigsten Hinweise hierfür hat eine Referenzinstallation von Windows 7 32 Bit geliefert. Es wird vermutet, dass es sich bei der ersten primären Partition um den so genannten Bootloader handelt. Abschlieÿend gilt es noch zu prüfen, ob es andere oder mehr Dateien als bei der Referenzinstallation gibt, oder ob die Gröÿe abweicht. Dazu wurden mit dem Befehl ls -Rla eine Liste aller Dateien und Verzeichnisse in ein Textdokument geschrieben. Diese wurde anschlieÿend mit dem Programm di verglichen: 1 $user : cat t r e e d i f f. txt 2 [REMOVED] 3 11,31 c11,31 4 < insgesamt 604 5 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23. 6 < drwxrwxrwx 1 root root 4096 2011 12 06 12:16.. 7 < rwxrwxrwx 1 root root 28672 2011 12 20 15:19 BCD 8 < rwxrwxrwx 1 root root 25600 2011 12 20 15:19 BCD.LOG 9 < rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG1 10 < rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG2 11 < rwxrwxrwx 1 root root 65536 2011 12 06 12:23 BOOTSTAT.DAT 12 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 cs CZ 13 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 da DK 14 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 de DE 15 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 el GR 16 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 en US 17 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 es ES 18 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 f i FI 19 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 Fonts 20 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 fr FR 21 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 hu HU 22 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 it IT 23 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 ja JP 24 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 ko KR 25 26 > insgesamt 596 27 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16. 28 > drwxrwxrwx 1 root root 4096 2012 01 25 13:18.. 29 > rwxrwxrwx 1 root root 24576 2012 01 25 22:00 BCD 30 > rwxrwxrwx 1 root root 21504 2012 01 25 21:57 BCD.LOG 31 > rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG1 32 > rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG2 23

33 > rwxrwxrwx 1 root root 65536 2012 01 25 13:16 BOOTSTAT.DAT 34 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 cs CZ 35 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 da DK 36 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 de DE 37 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 el GR 38 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 en US 39 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 es ES 40 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 f i FI 41 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 Fonts 42 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 fr FR 43 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 hu HU 44 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 it IT 45 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 ja JP 46 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 ko KR 47 33,43 c33,43 48 [REMOVED] Listing 13: Ausgabe von treedi.txt Es sind nur die Zeitstempel, welche sich auf die Ordner beziehen unterschiedlich. Sie verweisen auf den Zeitpunkt der Installation. Dieser müsste demnach am 06.12.2011 gewesen sein. Alle Dateien bis auf BCD und BCD.LOG haben den selben Zeitstempel, was darauf schlieÿen lässt, dass es sich um den Bulid-Zeitpunkt des Betriebssystems handelt. Die Zeitstempel können relativ leicht manipuliert werden. Deswegen sind sie nur ein schwaches Indiz. Die Dateigröÿen sind wieder bis auf die zwei Ausnahmen für BCD und BCD.LOG identisch. Eine genauere Analyse der beiden Dateien zeigt keine Auälligkeit. Bei der Datei BCD handelt es sich sehr wahrscheinlich um die Boot Conguration Data, bei der BCD.LOG um eine Logdatei. Beide Dateien enthalten keine verdächtigen Daten. Abschlieÿend kann mit an Sicherheit grenzender Wahrscheinlichkeit festgestellt werden, dass die erste primäre Partition, das Dateisystem oder die Dateien nicht manipuliert wurden oder zum verstecken von relevanten Informationen genutzt wurden. 4.3.2 NTFS Partition - part1.dd Den verschiedenen Hinweisen aus den vorherigen Abschnitten folgend, handelt es sich hierbei um die primäre Partition mit dem NTFS Dateisystem, welche vom Anwender benutzt wurde. In den meisten Windows-Systemen wird das Dateisystem als Laufwerk C gemountet. Wenn im Folgenden ein Datum referenziert wird, dann stammt es von dem Zeitstempel des Dateisystems. Wegen gewisser Ungenauigkeiten wir immer nur das Datum erwähnt. Es wird darauf hingewiesen, dass die Manipulation eines Zeitstempels sehr einfach ist. Für eine Analyse der Daten auf dem Dateisystem wurde der Datenträger mit dem Befehl sudo mount -t ntfs -o ro./part1.dd /mnt/part1.dd gemountet. Wie bereits erläutert, 24

kann so nur lesend auf die Daten zugegrien werden. Dadurch wird eine Verfälschung ausgeschlossen. Zuerst wurde mit dem Programm nd nach Bilddateien mit der Endung. gesucht. Dabei gab es folgende, allein des Namens wegen, verdächtige Treer: 1 $user : cat part1_find. txt 2 [REMOVED] 3 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 001. 4 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 002. 5 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 006. 6 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 007. 7 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 008. 8 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 009. 9 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 013. 10 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 014. 11 [REMOVED] Es folgt eine kurze Beurteilung. Listing 14: Ausgabe von part1_nd.txt Die Datei young_preteen_porn-001. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 58 KByte. Die Datei young_preteen_porn-002. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 58 KByte. Die Datei young_preteen_porn-006. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 68 KByte. Die Datei young_preteen_porn-007. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 153 KByte. Die Datei young_preteen_porn-008. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 71 KByte. Die Datei young_preteen_porn-009. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 70 KByte. Die Datei young_preteen_porn-013. kann eindeutig als kinderpornographisches Ma- 25

terial eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 72 KByte. Die Datei young_preteen_porn-014. kann eindeutig als kinderpornographisches Material eingestuft werden. Sie wurde am 20.12.2011 erstellt und auch zuletzt betrachtet. Die Gröÿe beträgt 56 KByte. Mit foremost konnten Einträge von Dateien mit einer ähnlichen Benennung gefunden werden. Diese Dateien können nicht wieder hergestellt werden, da ihre Sektoren bereits überschrieben sind. Die Zeitstempel sind analog zu denen der kinderpornographischen Dateien. 1 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 003. 2 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 004. 3 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 005. 4 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 011. 5 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 012. 6 /Windows/System32/XPSViewer/de DE/ config mui/young_preteen_porn 015. Listing 15: Gelöschte und überschriebene Dateien. Zusätzlich wurde bei einer weiteren Suche mit foremost folgendes belastendes Material gefunden. Da es sich nur um die Inhalte von Non-Resident $DATA Attributen handelt, kann keine Aussagen über den Dateiname oder etwaige Zeitstempel getroen werden. Die Dateien wurden nach den HDB benannt in dem sie gefunden wurden. In der Tabelle kann man auch das genaue Oset ablesen. 26

Nummer (dec) Name (HDB) Gröÿe (KByte) Oset 164 00962516. 13 492808605 165 00962543. 12 492822396 166 00962569. 13 492835362 167 00962596. 9 492849262 168 00962616. 14 492859488 169 00962644. 11 492874239 170 00962668. 15 492886354 1302 14649512. 67 7500550144 1303 14649656. 224 7500623872 1306 14901248. 55 7629438976 1307 14904040. 236 7630868480 1308 14905072. 71 7631396864 1311 15027091. 20 7693870985 1312 15027132. 14 7693891670 1313 15027161. 15 7693906774 1314 15027192. 12 7693922543 1315 15027218. 15 7693935850 1316 15027250. 19 7693952214 1317 15027289. 16 7693972089 1318 15027322. 16 7693988873 1329 15361048. 57 7864856576 1359 16552720. 57 8474992640 1360 16558688. 70 8478048256 1361 16558848. 69 8478130176 Es folgt eine kurze Einschätzung zu jedem Bild. Die Formulierung "das gleiche Bild heiÿt, dass der Inhalt des Bildes für den Gutachter der selbe ist, es aber Abweichungen in anderen Bereichen gibt. Diese Abweichungen können verschiedene Zeitstempel oder Bildgröÿen sein. Ein Bild wird als "das selbe Bild bezeichnet wenn die Prüfsumme identisch ist. Die Datei 00962543. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 13 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-001., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 00962516. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 12 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-002., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 00962569. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 13 KByte. 27

Die Datei 00962596. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 9 KByte. Die Datei 00962616. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 14 KByte. Die Datei 00962644. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 11 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-006., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 00962668. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 15 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-007., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 14649512. enthält das selbe Bild wie young_preteen_porn-006.. Die Datei 14649656. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 224 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-007., allerdings wurde der untere Teil des Bildes schon überschrieben. Die Datei 14901248. enthält das selbe Bild wie young_preteen_porn-014.. Die Datei 14904040. ist gröÿtenteils überschrieben und kann deswegen nicht als kinderpornographisches Material eingestuft werden. Lediglich der Fundort macht diese Datei verdächtig. Die Datei 14905072. enthält das selbe Bild wie young_preteen_porn-013.. Die Datei 15027091. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 20 KByte. Die Datei 15027132. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 14 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-008., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 15027161. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 15 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-009., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 15027192. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 12 KByte. Die Datei 15027218. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 15 KByte. 28

Die Datei 15027250. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 19 KByte. Die Datei 15027289. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 16 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-013., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 15027322. kann eindeutig als kinderpornographisches Material eingestuft werden. Die Gröÿe beträgt 16 KByte. Es handelt sich um das gleiche Bild wie young_- preteen_porn-0., es ist aber kleiner im Bezug auf Dateigröÿe und Bildgröÿe. Die Datei 15361048. enthält das selbe Bild wie young_preteen_porn-001.. Die Datei 16552720. enthält das selbe Bild wie young_preteen_porn-002.. Die Datei 16558688. enthält das selbe Bild wie young_preteen_porn-008.. Die Datei 16558848. enthält das selbe Bild wie young_preteen_porn-009.. Es wurden keine weiteren kinderpornographische Bilddateien gefunden. 29

Im nächsten Schritt wurden die Benutzerdaten des Benutzerkontos MrNiceGuy genauer untersucht. Installierte Anwendungen speichern ihre Nutzdaten auf einem Windows 7 Betriebssystem unter dem Pfad /User/MrNiceGuy/AppData/Roaming. 1 $ r o o t : l s l a / Users /MrNiceGuy/AppData/Roaming/ 2 insgesamt 12 3 drwxrwxrwx 1 root root 4096 2011 12 06 12:32. 4 drwxrwxrwx 1 root root 0 2011 12 06 12:14.. 5 drwxrwxrwx 1 root root 4096 2011 12 20 14:21 ICQ 6 drwxrwxrwx 1 root root 0 2011 12 06 12:14 I d e n t i t i e s 7 drwxrwxrwx 1 root root 0 2009 07 14 10:56 Media Center Programs 8 drwxrwxrwx 1 root root 4096 2011 12 06 12:17 Microsoft 9 drwxrwxrwx 1 root root 0 2011 12 06 12:21 Mozilla 10 drwxrwxrwx 1 root root 0 2011 12 06 12:21 Thunderbird Listing 16: ls -la für /User/MrNiceGuy/AppData/Roaming Dort wurden zwei Ordner gefunden die besonders interessant sein könnten, da sie von Kommunikationssoftware angelegt wurden. Das ist der Ordner ICQ, in dem der Instant Messaging Client seine Nutzdaten abspeichert. Die Ordnerstruktur ist wie folgt: 1 $ u s e r : l l l a / Users /MrNiceGuy/AppData/Roaming/ICQ/ 2 insgesamt 28 3 drwxrwxrwx 1 root root 4096 2011 12 20 14:21. / 4 drwxrwxrwx 1 root root 4096 2011 12 06 12:32.. / 5 drwxrwxrwx 1 root root 4096 2011 12 20 13:51 600247812/ 6 rwxrwxrwx 2 root root 7168 2011 12 20 13:25 Application. qdb 7 drwxrwxrwx 1 root root 0 2011 12 20 13:51 bart / 8 rwxrwxrwx 2 root root 0 2011 12 06 13:20 c o o l c o n f i g. xml 9 rwxrwxrwx 1 root root 2814 2011 12 20 14:21 icq_srp. rpt 10 drwxrwxrwx 1 root root 0 2011 12 06 13:20 Locate / 11 drwxrwxrwx 1 r o o t r o o t 0 2011 12 20 1 3: 4 5 mrniceguy1960@ dingsi. net / 12 drwxrwxrwx 1 r o o t r o o t 4096 2011 12 06 1 3: 2 0 mrniceguy1975@ dingsi. net / Listing 17: ls -la für /User/MrNiceGuy/AppData/Roaming/ICQ Die Ordner 600247812, mrniceguy1960@dingsi.net und mrniceguy1975@dingsi.net verraten, dass es drei verschiedene Benutzeraccounts gab. Für den ersten Account konnte in der SQLite Datenbank Messages.qdb folgendes Chat-Protokoll gefunden werden: 1 600247812 huhu 2 622877425 h a l l o 3 600247812 : ) 4 622877425 : D 5 622877425 wer b i s t duh den? 6 600247812 maria und du? 7 622877425 Susi 8 600247812 Hallo s u s i! 9 600247812 YAHOO 10 600247812 f i n d e s t du d i e s e l u s t i g e n s m i l i e s auch so cool? 30

11 600247812 da kann man v o l l f i e l e anklicken 12 622877425 wo den? 13 600247812 musst über dem s c h r e i b f e n s t e r auf den s m i l i e k l i c k e n? 14 622877425 nee, da i s t bei mir n i c h t s 15 600247812 schade 16 600247812 Wie a l t b i s t du den? Ich bin 13! 17 622877425 Ich bin e r s t 12 18 600247812 Da sind wir ja f a s t g l e i c h a l t! 19 600247812 Wo kommst du her? 20 622877425 Aus Königstein 21 600247812 coooool ich auch 22 622877425 echt das ja l u s t i g 23 600247812 meine e l t e r n haben mir eine webcam geschenkt hast du auch eine? 24 622877425 nein, meine e l t e r n wollen das nicht 25 600247812 aber wollen wir uns mal zum s p i e l e n t r e f f e n? wenn du a l l e i n e b i s t dann s c h i c k e ich meinen papa vorbei der dich abholt 26 622877425 nee da muss ich e r s t meine e l t e r n fragen Listing 18: ICQ Chat-Protokoll von 600247812 Es schreibt sich der Nutzer (600247812) mit einer maria von Büttel (622877425), hierbei kann es sich allerdings auch um ein Synonym handeln. Auf den Inhalt des Gesprächs wird hier nicht weiter eingegangen. Für den Nutzer mrniceguy1960@dingsi.net ist leider keine Nachrichtendatenbank mehr vorhanden. Da es sehr ungewöhnlich ist, dass die Ordner eines Chat-Prols leer sind, besteht die Möglichkeit das sie vom Anwender händisch gelöscht wurden. Für den Nutzer mrniceguy1975@dingsi.net ist ebenfalls eine Nachrichtendatenbank vorhanden. Diese ist aber leer. Hier besteht ebenfalls die Möglichkeit einer Manipulation durch den Anwender. Der weitere Ordner aus Listing 16 der besonders interessant ist heiÿt Thunderbird. Thunderbird ist ein E-Mail-Client der Mozilla Foundation. Seine Nutzdaten, also auch die E-Mails werden in diesem Ordner gespeichert. Die E-Mails werden unter /Users/MrNice- Guy/AppData/Roaming/Thunderbird/Proles/0b94uken.default/Mail/mail.dingsi.net/ abgelegt. 1 $user : l s l a /mnt/ part1. dd/ Users /MrNiceGuy/AppData/Roaming/ Thunderbird / P r o f i l e s /0b94uken. d e f a u l t /Mail/ mail. d i n g s i. net / 2 insgesamt 25 3 drwxrwxrwx 1 root root 4096 2011 12 20 13:29. 4 drwxrwxrwx 1 root root 0 2011 12 06 13:15.. 5 rwxrwxrwx 1 root root 1548 2011 12 20 13:29 Drafts 6 rwxrwxrwx 1 root root 2164 2011 12 20 13:29 Drafts. msf 7 rwxrwxrwx 1 root root 2601 2011 12 20 13:29 Inbox 8 rwxrwxrwx 1 root root 2921 2011 12 20 13:29 Inbox. msf 9 rwxrwxrwx 2 root root 27 2011 12 06 13:15 msgfilterrules. dat 10 rwxrwxrwx 1 root root 138 2011 12 20 13:29 popstate. dat 11 rwxrwxrwx 1 root root 0 2011 12 06 13:15 Trash 31

12 rwxrwxrwx 1 root root 1794 2011 12 06 13:16 Trash. msf Listing 19: Thunderbird/Proles/0b94uken.default/Mail/mail.dingsi.net/]ls [...]Thunderbird/Proles/0b94uken.default/Mail/mail.dingsi.net/ Die Inhalte der Dateien Inbox und Drafts enthalten jeweils eine E-Mail. In Inbox bendet sich folgender Inhalt: -la 1 $user : cat Inbox 2 From Tue Dec 20 1 3 : 2 9 : 0 2 2011 3 [REMOVED] 4 S u b j e c t : Neues =? i s o 8859 1?Q? Junggem=FCse_w=E4chst_heran!?= 5 [REMOVED] 6 7 Hallo Mr NiceGuy! 8 9 Danke f ü r d i e Überweisung des Geldes! I c h werde d i r in der nächsten Email 10 dann sobald ich was Neues habe d i r das Bild schicken. 11 12 Bis dann! 13 14 ~thebadguy 15 Die Antwort ndet sich in der Datei Drafts: Listing 20: cat Inbox 1 $user : cat Drafts 2 [ Removed ] 3 Date : Tue, 20 Dec 2011 1 3 : 2 9 : 4 0 +0100 4 From : mrniceguy1960@dingsi. net 5 [ Removed ] 6 To : thebadguy@ lavabit. com 7 [ Removed ] 8 9 </pre> 10 </blockquote > 11 Danke Dir!<br> 12 </body> 13 </html> 14 Listing 21: cat Drafts Die Antwort ist nur sehr kurz und umfasst nur den Satz: "Danke Dir!". Diese E-Mail ist in der Datei Drafts, also Entwürfe gefunden worden. Es kann nicht mit Sicherheit gesagt werden, dass sie auch versendet wurde. Eine Whois-Abfrage der E-Mail-Domain ergab, dass die Domain registriert ist auf: Adresse entfernt! 32

Um weitere Dateien des Nutzer aufzuspüren wurde nach verschiedenen nicht gelöschten Dateien mit Hilfe des nd Programms gesucht. Diese Suche förderte eine Textdatei (Kontakte.txt) mit den Zugangsdaten für soziale Netzwerke zutage. Der Pfad unter dem die Datei Kontakte.txt gefunden wurde lautet /mnt/dd.image/users/public/music/sample Music/. Der Inhalt ist folgender: 1 $user : cat Kontakte. txt 2 SchülerVZ Fake Konten : 3 http ://www. s c h u e l e r v z. net 4 5 Maria : 6 m. a r i a @ f r e e m a i l e r. cx 7 asdf12313foo 8 9 Bernd : 10 bernd@freemailer. cx 11 blah23blahneindoch! 12 13 14 F l i r t L i f e Konten : 15 http ://www. f l i r t l i f e. de 16 17 George : 18 gorge1995 / ffbb1212 19 20 Johanna : 21 joane14 / j g f n $ 2 s a! 22 23 Melanie : 24 mausi13 / l$21!! da" 25 26 Listing 22: cat Kontakte.txt Die Zugangsdaten für SchülerVZ und FlirtLife tabellarisch dargestellt. Netzwerk Benutzername Passwort SchülerVZ m.aria@freemailer.cx asdf12313foo SchülerVZ bernd@freemailer.cx blah23blahneindoch! FlirtLife gorge1995 bb1212 FlirtLife joane14 jgfn$2sa! FlirtLife mausi13 l$21!!da" Die Zielgruppe der beiden genannten sozialen Netzwerke sind Minderjährige. Dadurch entsteht der Verdacht, der Nutzer könne sie gezielt zur Kontaktaufnahme mit potentiellen Opfern genutzt haben. Abschlieÿend wurde das gemountete Dateisystem mit einem AVG Virenscanner durch- 33

sucht, um Malware zu identizieren. Bei dieser Suche konnte nichts gefunden werden. Allerdings konnten in dem von foremost wiederhergestellten Datenbestand die Malware Dropper.Generic2.ANGG und Win32/Heur identiziert werden. Es handelt sich hier aber nur um Schadsoftware, die durch eine Heuristik erkannt wurde. Diese arbeiten nicht immer fehlerfrei. 34

5 Anhang Im Anhang sind alle Zusatzinformationen für den Bericht zu nden. Darunter sind Prüfsummen (Hashes), lange Ausgaben und Dateien. 5.1 SHA1 Prüfsummen 1 933634444b481cba3fa948eb7b9458e3b97b4689 933634444b481cba3fa948eb7b9458e3b97b4689 9b7cb9db7a14ea3aa275669857b580d048e928aa bfa8f7bae00715fb462198b3f9a6dcec0d8ed4d8 f6c878db7e1a8c3af3fb7fae165b38d07c913718 18d1eeb00ad6b2710f396fea174c182405a3888f 946003c2d6a561c783b9f266fb946fa72330183a 4379a3d43019b46fa357f7dd6a53b45a3ca8fb79 4379a3d43019b46fa357f7dd6a53b45a3ca8fb79 ce70462b5c1b92c79a75452d5f0fcd31fb4e0c 199011e61b38870d6d285c71250bdea1314f819b 085ea76f9028e558dd528552fea148bd9c0454 0d26fa2dfcefd62ec9974db6135a4385e1e8a653 bbb744770f4caaba2123153fa90f4e8a150fd23f 64abde20d350398ca68f70aa45537015edbf9387 54743437473396aa2481e12568bb46ed44092ad7 da3098ae92580c28b7c86c16c54d41eee66d39cd eb9667f090bd8c8ec64435ea04b3d277a8e08a95 463a848f5b18c0e6f46534520c14a4fa1fbf4bfc ebab6aa5b9ddf51df7eb27cca58f26d81e425708 a1fd4a8eb68c994b2bc293b34df4a00a23fd73f2 5fef9f3296956e188b3b7a484b52fe8c7683ba2d d8294ed6b5e8791ede0649c15af6b604d8e6ad66 5a64bcbf0650dd28c5718bab1f668c974e6fb236 31f21ec54ce630b8b1bc7fc560602bbb32ad40fe image#6.dd image#6_copy.dd mbr.dd unalloc0.dd part0.dd part1.dd win7mbr.dd mbr_bc.dd win7bc.dd unalloc1.dd win7bldr.dd part0_tree.txt win7bldr_tree.txt treedi.txt BCD BCD.LOG part1_nd.txt young_preteen_porn-001. young_preteen_porn-002. young_preteen_porn-006. young_preteen_porn-007. young_preteen_porn-008. young_preteen_porn-009. young_preteen_porn-013. young_preteen_porn-014. 35

5cb3072fc5326a967618799172d107f00029f5fb 4a21a135815debdcc54da496b9d1af5b3895e8 9f5d073ec1dea9984dbc36c971aa7a3ec3d655 32292e684fa8bfe902ba50886bda435c2ad20f02 a27a6d50d24585df6f5fc58f3009fea2b90798c8 59af6c09cf61963a24cf219d0fd6768de5a92bca a0decfe0cec446a1b2c0046b93e9d5c1d965666b ebab6aa5b9ddf51df7eb27cca58f26d81e425708 f1875f427d9b31fecd7d4849777bea74bc22b7cc 31f21ec54ce630b8b1bc7fc560602bbb32ad40fe e825ece80ca3c3942b5658742b40da7b670f6f7e 5a64bcbf0650dd28c5718bab1f668c974e6fb236 b55c7050c88faa91f21f48a8ca612cd3bce4c5b7 664a7ec8f82cd04907d77dc90d650c0b0e7b2bf7 a03f02bf7f34f231d3209f2446f7f41474dfe90d 6663eb823b827d1d77e9c509ab3ecb58d499fd2a 0c18c22c0e28e447b441f0dc3c70c2039e4a0d e42478837810615fa7bf232ca9a49d161596af6b 8f2d7d753595f47a888c21d57b7a1f3da2928eae 765917361f89ce1819edab87c0a80f7e130ea8fb eb9667f090bd8c8ec64435ea04b3d277a8e08a95 463a848f5b18c0e6f46534520c14a4fa1fbf4bfc 5fef9f3296956e188b3b7a484b52fe8c7683ba2d d8294ed6b5e8791ede0649c15af6b604d8e6ad66 47021de4c51be3eddd9275ef6423c76ca39a8618 dfd0635ee63ad44c3f3baf9ab100d003cf697edd d040682e21029e123156d2d2990efb443425d13b c95b4825365a2ecccafd19719d17254710138a8a 7c6cf8b2e23c759cf8729d0899bc595157af86df 00962516. 00962543. 00962569. 00962596. 00962616. 00962644. 00962668. 14649512. 14649656. 14901248. 14904040. 14905072. 15027091. 15027132. 15027161. 15027192. 15027218. 15027250. 15027289. 15027322. 15361048. 16552720. 16558688. 16558848. Messages.qdb Owner.qdb Drafts Inbox Kontakte.txt 5.2 Dateibaumvergleich - part0.dd treedi.txt: 1 3c3 2 < drwxrwxrwx 1 root root 4096 2011 12 06 12:16. 3 4 > drwxrwxrwx 1 root root 4096 2012 01 25 13:18. 5 5c5 6 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23 Boot 7 8 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16 Boot 9 7,8 c7, 8 10 < rwxrwxrwx 1 root root 8192 2011 12 06 12:24 BOOTSECT.BAK 11 < drwxrwxrwx 1 root root 0 2011 12 06 12:16 System Volume Information 12 36

13 > rwxrwxrwx 1 root root 8192 2012 01 25 13:16 BOOTSECT.BAK 14 > drwxrwxrwx 1 root root 0 2012 01 25 13:18 System Volume Information 15 11,31 c11,31 16 < insgesamt 604 17 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23. 18 < drwxrwxrwx 1 root root 4096 2011 12 06 12:16.. 19 < rwxrwxrwx 1 root root 28672 2011 12 20 15:19 BCD 20 < rwxrwxrwx 1 root root 25600 2011 12 20 15:19 BCD.LOG 21 < rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG1 22 < rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG2 23 < rwxrwxrwx 1 root root 65536 2011 12 06 12:23 BOOTSTAT.DAT 24 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 cs CZ 25 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 da DK 26 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 de DE 27 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 el GR 28 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 en US 29 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 es ES 30 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 f i FI 31 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 Fonts 32 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 fr FR 33 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 hu HU 34 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 it IT 35 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 ja JP 36 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 ko KR 37 38 > insgesamt 596 39 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16. 40 > drwxrwxrwx 1 root root 4096 2012 01 25 13:18.. 41 > rwxrwxrwx 1 root root 24576 2012 01 25 22:00 BCD 42 > rwxrwxrwx 1 root root 21504 2012 01 25 21:57 BCD.LOG 43 > rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG1 44 > rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG2 45 > rwxrwxrwx 1 root root 65536 2012 01 25 13:16 BOOTSTAT.DAT 46 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 cs CZ 47 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 da DK 48 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 de DE 49 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 el GR 50 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 en US 51 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 es ES 52 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 f i FI 53 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 Fonts 54 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 fr FR 55 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 hu HU 56 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 it IT 57 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 ja JP 58 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 ko KR 59 33,43 c33,43 60 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 nb NO 61 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 nl NL 62 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 pl PL 63 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 pt BR 64 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 pt PT 65 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 ru RU 66 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 sv SE 37

67 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 tr TR 68 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh CN 69 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh HK 70 < drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh TW 71 72 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 nb NO 73 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 nl NL 74 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 pl PL 75 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 pt BR 76 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 pt PT 77 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 ru RU 78 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 sv SE 79 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 tr TR 80 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh CN 81 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh HK 82 > drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh TW 83 47,48 c47,48 84 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 85 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 86 87 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 88 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 89 53,54 c53,54 90 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 91 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 92 93 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 94 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 95 59,60 c59,60 96 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 97 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 98 99 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 100 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 101 66,67 c66,67 102 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 103 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 104 105 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 106 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 107 72,73 c72,73 108 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 109 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 110 111 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 112 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 113 78,79 c78,79 114 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 115 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 116 117 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 118 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 119 84,85 c84,85 120 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 38

121 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 122 123 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 124 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 125 90,91 c90,91 126 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 127 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 128 129 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 130 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 131 100,101 c100,101 132 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 133 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 134 135 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 136 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 137 106,107 c106,107 138 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 139 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 140 141 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 142 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 143 112,113 c112,113 144 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 145 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 146 147 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 148 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 149 118,119 c118,119 150 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 151 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 152 153 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 154 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 155 124,125 c124,125 156 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 157 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 158 159 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 160 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 161 130,131 c130,131 162 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 163 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 164 165 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 166 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 167 136,137 c136,137 168 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 169 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 170 171 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 172 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 173 142,143 c142,143 174 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 39

175 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 176 177 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 178 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 179 148,149 c148,149 180 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 181 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 182 183 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 184 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 185 154,155 c154,155 186 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 187 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 188 189 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 190 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 191 160,161 c160,161 192 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 193 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 194 195 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 196 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 197 166,167 c166,167 198 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 199 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 200 201 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 202 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 203 172,173 c172,173 204 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 205 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 206 207 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 208 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 209 178,179 c178,179 210 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 211 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 212 213 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 214 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 215 184,185 c184,185 216 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 217 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 218 219 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 220 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 221 190,191 c190,191 222 < drwxrwxrwx 1 root root 0 2011 12 06 12:23. 223 < drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 224 225 > drwxrwxrwx 1 root root 0 2012 01 25 13:16. 226 > drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 227 196,198 c196,198 228 < drwxrwxrwx 1 root root 0 2011 12 06 12:16. 40

229 < drwxrwxrwx 1 root root 4096 2011 12 06 12:16.. 230 < rwxrwxrwx 1 root root 20480 2011 12 06 12:16 tracking. log 231 232 > drwxrwxrwx 1 root root 0 2012 01 25 13:18. 233 > drwxrwxrwx 1 root root 4096 2012 01 25 13:18.. 234 > rwxrwxrwx 1 root root 20480 2012 01 25 13:18 tracking. log part0_tree.txt: Listing 23: treedi.txt 1. : 2 insgesamt 396 3 drwxrwxrwx 1 root root 4096 2011 12 06 12:16. 4 drwxr xr x 4 root root 4096 2012 02 12 15:30.. 5 drwxrwxrwx 1 root root 4096 2011 12 06 12:23 Boot 6 rwxrwxrwx 1 root root 383562 2009 07 14 03:38 bootmgr 7 rwxrwxrwx 1 root root 8192 2011 12 06 12:24 BOOTSECT.BAK 8 drwxrwxrwx 1 root root 0 2011 12 06 12:16 System Volume Information 9 10. / Boot : 11 insgesamt 604 12 drwxrwxrwx 1 root root 4096 2011 12 06 12:23. 13 drwxrwxrwx 1 root root 4096 2011 12 06 12:16.. 14 rwxrwxrwx 1 root root 28672 2011 12 20 15:19 BCD 15 rwxrwxrwx 1 root root 25600 2011 12 20 15:19 BCD.LOG 16 rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG1 17 rwxrwxrwx 2 root root 0 2011 12 06 12:23 BCD.LOG2 18 rwxrwxrwx 1 root root 65536 2011 12 06 12:23 BOOTSTAT.DAT 19 drwxrwxrwx 1 root root 0 2011 12 06 12:23 cs CZ 20 drwxrwxrwx 1 root root 0 2011 12 06 12:23 da DK 21 drwxrwxrwx 1 root root 0 2011 12 06 12:23 de DE 22 drwxrwxrwx 1 root root 0 2011 12 06 12:23 el GR 23 drwxrwxrwx 1 root root 0 2011 12 06 12:23 en US 24 drwxrwxrwx 1 root root 0 2011 12 06 12:23 es ES 25 drwxrwxrwx 1 root root 0 2011 12 06 12:23 f i FI 26 drwxrwxrwx 1 root root 0 2011 12 06 12:23 Fonts 27 drwxrwxrwx 1 root root 0 2011 12 06 12:23 fr FR 28 drwxrwxrwx 1 root root 0 2011 12 06 12:23 hu HU 29 drwxrwxrwx 1 root root 0 2011 12 06 12:23 it IT 30 drwxrwxrwx 1 root root 0 2011 12 06 12:23 ja JP 31 drwxrwxrwx 1 root root 0 2011 12 06 12:23 ko KR 32 rwxrwxrwx 1 root root 485440 2009 07 14 03:20 memtest. exe 33 drwxrwxrwx 1 root root 0 2011 12 06 12:23 nb NO 34 drwxrwxrwx 1 root root 0 2011 12 06 12:23 nl NL 35 drwxrwxrwx 1 root root 0 2011 12 06 12:23 pl PL 36 drwxrwxrwx 1 root root 0 2011 12 06 12:23 pt BR 37 drwxrwxrwx 1 root root 0 2011 12 06 12:23 pt PT 38 drwxrwxrwx 1 root root 0 2011 12 06 12:23 ru RU 39 drwxrwxrwx 1 root root 0 2011 12 06 12:23 sv SE 40 drwxrwxrwx 1 root root 0 2011 12 06 12:23 tr TR 41 drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh CN 42 drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh HK 41

43 drwxrwxrwx 1 root root 0 2011 12 06 12:23 zh TW 44 45. / Boot/ cs CZ: 46 insgesamt 92 47 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 48 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 49 rwxrwxrwx 2 root root 89168 2009 07 14 03:17 bootmgr. exe. mui 50 51. / Boot/da DK: 52 insgesamt 92 53 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 54 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 55 rwxrwxrwx 2 root root 87616 2009 07 14 03:17 bootmgr. exe. mui 56 57. / Boot/de DE: 58 insgesamt 140 59 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 60 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 61 rwxrwxrwx 2 root root 91712 2009 07 14 03:17 bootmgr. exe. mui 62 rwxrwxrwx 2 root root 44112 2009 07 14 10:47 memtest. exe. mui 63 64. / Boot/ el GR: 65 insgesamt 100 66 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 67 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 68 rwxrwxrwx 2 root root 94800 2009 07 14 03:17 bootmgr. exe. mui 69 70. / Boot/en US: 71 insgesamt 88 72 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 73 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 74 rwxrwxrwx 2 root root 85056 2009 07 14 03:17 bootmgr. exe. mui 75 76. / Boot/ es ES : 77 insgesamt 96 78 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 79 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 80 rwxrwxrwx 2 root root 90192 2009 07 14 03:17 bootmgr. exe. mui 81 82. / Boot/ f i FI : 83 insgesamt 92 84 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 85 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 86 rwxrwxrwx 2 root root 89152 2009 07 14 03:17 bootmgr. exe. mui 87 88. / Boot/Fonts : 89 insgesamt 11704 90 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 91 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 92 rwxrwxrwx 1 root root 3694080 2009 06 10 23:15 chs_boot. t t f 93 rwxrwxrwx 1 root root 3876772 2009 06 10 23:15 cht_boot. t t f 94 rwxrwxrwx 1 root root 1984228 2009 06 10 23:15 jpn_boot. t t f 95 rwxrwxrwx 1 root root 2371360 2009 06 10 23:15 kor_boot. t t f 96 rwxrwxrwx 2 root root 47452 2009 06 10 23:15 wgl4_boot. t t f 42

97 98. / Boot/ fr FR: 99 insgesamt 96 100 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 101 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 102 rwxrwxrwx 2 root root 93248 2009 07 14 03:17 bootmgr. exe. mui 103 104. / Boot/hu HU: 105 insgesamt 96 106 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 107 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 108 rwxrwxrwx 2 root root 90688 2009 07 14 03:17 bootmgr. exe. mui 109 110. / Boot/ it IT : 111 insgesamt 96 112 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 113 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 114 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 115 116. / Boot/ ja JP : 117 insgesamt 80 118 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 119 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 120 rwxrwxrwx 2 root root 76352 2009 07 14 03:17 bootmgr. exe. mui 121 122. / Boot/ko KR: 123 insgesamt 80 124 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 125 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 126 rwxrwxrwx 2 root root 75344 2009 07 14 03:17 bootmgr. exe. mui 127 128. / Boot/nb NO: 129 insgesamt 92 130 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 131 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 132 rwxrwxrwx 2 root root 88144 2009 07 14 03:17 bootmgr. exe. mui 133 134. / Boot/ nl NL: 135 insgesamt 96 136 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 137 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 138 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 139 140. / Boot/ pl PL: 141 insgesamt 96 142 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 143 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 144 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 145 146. / Boot/pt BR: 147 insgesamt 96 148 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 149 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 150 rwxrwxrwx 2 root root 90176 2009 07 14 03:17 bootmgr. exe. mui 43

151 152. / Boot/pt PT: 153 insgesamt 92 154 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 155 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 156 rwxrwxrwx 2 root root 89664 2009 07 14 03:17 bootmgr. exe. mui 157 158. / Boot/ru RU: 159 insgesamt 96 160 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 161 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 162 rwxrwxrwx 2 root root 90192 2009 07 14 03:17 bootmgr. exe. mui 163 164. / Boot/sv SE : 165 insgesamt 92 166 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 167 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 168 rwxrwxrwx 2 root root 87616 2009 07 14 03:17 bootmgr. exe. mui 169 170. / Boot/ tr TR: 171 insgesamt 92 172 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 173 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 174 rwxrwxrwx 2 root root 87104 2009 07 14 03:17 bootmgr. exe. mui 175 176. / Boot/zh CN: 177 insgesamt 76 178 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 179 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 180 rwxrwxrwx 2 root root 70720 2009 07 14 03:17 bootmgr. exe. mui 181 182. / Boot/zh HK: 183 insgesamt 76 184 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 185 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 186 rwxrwxrwx 2 root root 70224 2009 07 14 03:17 bootmgr. exe. mui 187 188. / Boot/zh TW: 189 insgesamt 76 190 drwxrwxrwx 1 root root 0 2011 12 06 12:23. 191 drwxrwxrwx 1 root root 4096 2011 12 06 12:23.. 192 rwxrwxrwx 2 root root 70208 2009 07 14 03:17 bootmgr. exe. mui 193 194. / System Volume Information : 195 insgesamt 24 196 drwxrwxrwx 1 root root 0 2011 12 06 12:16. 197 drwxrwxrwx 1 root root 4096 2011 12 06 12:16.. 198 rwxrwxrwx 1 root root 20480 2011 12 06 12:16 tracking. log win7bldr_tree.txt: Listing 24: part0_tree.txt 44

1. : 2 insgesamt 396 3 drwxrwxrwx 1 root root 4096 2012 01 25 13:18. 4 drwxr xr x 4 root root 4096 2012 02 12 15:30.. 5 drwxrwxrwx 1 root root 4096 2012 01 25 13:16 Boot 6 rwxrwxrwx 1 root root 383562 2009 07 14 03:38 bootmgr 7 rwxrwxrwx 1 root root 8192 2012 01 25 13:16 BOOTSECT.BAK 8 drwxrwxrwx 1 root root 0 2012 01 25 13:18 System Volume Information 9 10. / Boot : 11 insgesamt 596 12 drwxrwxrwx 1 root root 4096 2012 01 25 13:16. 13 drwxrwxrwx 1 root root 4096 2012 01 25 13:18.. 14 rwxrwxrwx 1 root root 24576 2012 01 25 22:00 BCD 15 rwxrwxrwx 1 root root 21504 2012 01 25 21:57 BCD.LOG 16 rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG1 17 rwxrwxrwx 2 root root 0 2012 01 25 13:16 BCD.LOG2 18 rwxrwxrwx 1 root root 65536 2012 01 25 13:16 BOOTSTAT.DAT 19 drwxrwxrwx 1 root root 0 2012 01 25 13:16 cs CZ 20 drwxrwxrwx 1 root root 0 2012 01 25 13:16 da DK 21 drwxrwxrwx 1 root root 0 2012 01 25 13:16 de DE 22 drwxrwxrwx 1 root root 0 2012 01 25 13:16 el GR 23 drwxrwxrwx 1 root root 0 2012 01 25 13:16 en US 24 drwxrwxrwx 1 root root 0 2012 01 25 13:16 es ES 25 drwxrwxrwx 1 root root 0 2012 01 25 13:16 f i FI 26 drwxrwxrwx 1 root root 0 2012 01 25 13:16 Fonts 27 drwxrwxrwx 1 root root 0 2012 01 25 13:16 fr FR 28 drwxrwxrwx 1 root root 0 2012 01 25 13:16 hu HU 29 drwxrwxrwx 1 root root 0 2012 01 25 13:16 it IT 30 drwxrwxrwx 1 root root 0 2012 01 25 13:16 ja JP 31 drwxrwxrwx 1 root root 0 2012 01 25 13:16 ko KR 32 rwxrwxrwx 1 root root 485440 2009 07 14 03:20 memtest. exe 33 drwxrwxrwx 1 root root 0 2012 01 25 13:16 nb NO 34 drwxrwxrwx 1 root root 0 2012 01 25 13:16 nl NL 35 drwxrwxrwx 1 root root 0 2012 01 25 13:16 pl PL 36 drwxrwxrwx 1 root root 0 2012 01 25 13:16 pt BR 37 drwxrwxrwx 1 root root 0 2012 01 25 13:16 pt PT 38 drwxrwxrwx 1 root root 0 2012 01 25 13:16 ru RU 39 drwxrwxrwx 1 root root 0 2012 01 25 13:16 sv SE 40 drwxrwxrwx 1 root root 0 2012 01 25 13:16 tr TR 41 drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh CN 42 drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh HK 43 drwxrwxrwx 1 root root 0 2012 01 25 13:16 zh TW 44 45. / Boot/ cs CZ: 46 insgesamt 92 47 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 48 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 49 rwxrwxrwx 2 root root 89168 2009 07 14 03:17 bootmgr. exe. mui 50 51. / Boot/da DK: 52 insgesamt 92 53 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 54 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 45

55 rwxrwxrwx 2 root root 87616 2009 07 14 03:17 bootmgr. exe. mui 56 57. / Boot/de DE: 58 insgesamt 140 59 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 60 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 61 rwxrwxrwx 2 root root 91712 2009 07 14 03:17 bootmgr. exe. mui 62 rwxrwxrwx 2 root root 44112 2009 07 14 10:47 memtest. exe. mui 63 64. / Boot/ el GR: 65 insgesamt 100 66 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 67 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 68 rwxrwxrwx 2 root root 94800 2009 07 14 03:17 bootmgr. exe. mui 69 70. / Boot/en US: 71 insgesamt 88 72 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 73 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 74 rwxrwxrwx 2 root root 85056 2009 07 14 03:17 bootmgr. exe. mui 75 76. / Boot/ es ES : 77 insgesamt 96 78 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 79 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 80 rwxrwxrwx 2 root root 90192 2009 07 14 03:17 bootmgr. exe. mui 81 82. / Boot/ f i FI : 83 insgesamt 92 84 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 85 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 86 rwxrwxrwx 2 root root 89152 2009 07 14 03:17 bootmgr. exe. mui 87 88. / Boot/Fonts : 89 insgesamt 11704 90 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 91 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 92 rwxrwxrwx 1 root root 3694080 2009 06 10 23:15 chs_boot. t t f 93 rwxrwxrwx 1 root root 3876772 2009 06 10 23:15 cht_boot. t t f 94 rwxrwxrwx 1 root root 1984228 2009 06 10 23:15 jpn_boot. t t f 95 rwxrwxrwx 1 root root 2371360 2009 06 10 23:15 kor_boot. t t f 96 rwxrwxrwx 2 root root 47452 2009 06 10 23:15 wgl4_boot. t t f 97 98. / Boot/ fr FR: 99 insgesamt 96 100 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 101 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 102 rwxrwxrwx 2 root root 93248 2009 07 14 03:17 bootmgr. exe. mui 103 104. / Boot/hu HU: 105 insgesamt 96 106 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 107 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 108 rwxrwxrwx 2 root root 90688 2009 07 14 03:17 bootmgr. exe. mui 46

109 110. / Boot/ it IT : 111 insgesamt 96 112 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 113 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 114 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 115 116. / Boot/ ja JP : 117 insgesamt 80 118 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 119 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 120 rwxrwxrwx 2 root root 76352 2009 07 14 03:17 bootmgr. exe. mui 121 122. / Boot/ko KR: 123 insgesamt 80 124 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 125 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 126 rwxrwxrwx 2 root root 75344 2009 07 14 03:17 bootmgr. exe. mui 127 128. / Boot/nb NO: 129 insgesamt 92 130 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 131 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 132 rwxrwxrwx 2 root root 88144 2009 07 14 03:17 bootmgr. exe. mui 133 134. / Boot/ nl NL: 135 insgesamt 96 136 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 137 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 138 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 139 140. / Boot/ pl PL: 141 insgesamt 96 142 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 143 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 144 rwxrwxrwx 2 root root 90704 2009 07 14 03:17 bootmgr. exe. mui 145 146. / Boot/pt BR: 147 insgesamt 96 148 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 149 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 150 rwxrwxrwx 2 root root 90176 2009 07 14 03:17 bootmgr. exe. mui 151 152. / Boot/pt PT: 153 insgesamt 92 154 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 155 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 156 rwxrwxrwx 2 root root 89664 2009 07 14 03:17 bootmgr. exe. mui 157 158. / Boot/ru RU: 159 insgesamt 96 160 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 161 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 162 rwxrwxrwx 2 root root 90192 2009 07 14 03:17 bootmgr. exe. mui 47

163 164. / Boot/sv SE : 165 insgesamt 92 166 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 167 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 168 rwxrwxrwx 2 root root 87616 2009 07 14 03:17 bootmgr. exe. mui 169 170. / Boot/ tr TR: 171 insgesamt 92 172 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 173 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 174 rwxrwxrwx 2 root root 87104 2009 07 14 03:17 bootmgr. exe. mui 175 176. / Boot/zh CN: 177 insgesamt 76 178 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 179 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 180 rwxrwxrwx 2 root root 70720 2009 07 14 03:17 bootmgr. exe. mui 181 182. / Boot/zh HK: 183 insgesamt 76 184 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 185 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 186 rwxrwxrwx 2 root root 70224 2009 07 14 03:17 bootmgr. exe. mui 187 188. / Boot/zh TW: 189 insgesamt 76 190 drwxrwxrwx 1 root root 0 2012 01 25 13:16. 191 drwxrwxrwx 1 root root 4096 2012 01 25 13:16.. 192 rwxrwxrwx 2 root root 70208 2009 07 14 03:17 bootmgr. exe. mui 193 194. / System Volume Information : 195 insgesamt 24 196 drwxrwxrwx 1 root root 0 2012 01 25 13:18. 197 drwxrwxrwx 1 root root 4096 2012 01 25 13:18.. 198 rwxrwxrwx 1 root root 20480 2012 01 25 13:18 tracking. log Listing 25: win7bldr_tree.txt 5.3 Find *. - part1.dd part1_nd.txt: 1 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / HandPrints. 2 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Bears. 3 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Blue_Gradient. 4 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery /Garden. 48

5 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / GreenBubbles. 6 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery /Monet. 7 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery /Notebook. 8 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / OrangeCircles. 9 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery /Peacock. 10 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Pine_Lumber. jp g 11 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Pretty_Peacock. jp g 12 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Psychedelic. 13 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Roses. 14 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Sand_Paper. jp g 15 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / ShadesOfBlue. jp g 16 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Small_News. jp g 17 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / SoftBlue. 18 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Stars. 19 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / Tanspecks. 20 /mnt/ part1. dd/program F i l e s /Common F i l e s / microsoft shared / Stationery / White_Chocolate. 21 /mnt/ part1. dd/program F i l e s /ICQ7.7/imApp/theme/IMAGES/ XtraPreloader / loader. 22 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e / female100. 23 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e / female64. 24 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e /male100. 25 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e /male64. 26 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e / nogender64. 27 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e /unknown100. 28 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ i c q _ p r o f i l e /unknown_friend. 29 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ f t u e /button_normal. 30 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ f t u e / button_rollover. 31 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ icq_email_notifier_ex / s e t t i n g s I c o n. 32 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/icq_ls_me/ female64. 33 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/icq_ls_me/ headerbar_bgfill. 34 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/icq_ls_me/male64. 35 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/icq_ls_me/ metab_panelbgfill. j p g 36 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/icq_ls_me/ nogender64. 37 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ ls_tab /male64. 49

38 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ ls_tab /metab_panelbgfill. 39 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ ls_tab / nogender64. 40 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ ls_tab / female64. 41 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ ls_tab / headerbar_bgfill. 42 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms / female100. 43 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms / female64. 44 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms /male100. 45 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms /male64. 46 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms / nogender64. 47 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms /unknown100. 48 /mnt/ part1. dd/program F i l e s /ICQ7.7/ Xtraz / i c q /theme/ profile_forms / unknown_friend. 49 /mnt/ part1. dd/program F i l e s /Windows Media Player /Media Renderer /DMR_120. 50 /mnt/ part1. dd/program F i l e s /Windows Media Player /Media Renderer /DMR_48. 51 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing /wmpnss_bw120. 52 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing /wmpnss_bw32. 53 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing /wmpnss_bw48. 54 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing / wmpnss_color120. j pg 55 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing / wmpnss_color32. 56 /mnt/ part1. dd/program F i l e s /Windows Media Player /Network Sharing / wmpnss_color48. 57 /mnt/ part1. dd/program F i l e s /Windows Sidebar /Gadgets/MediaCenter. Gadget/ images /default_thumb. 58 /mnt/ part1. dd/program F i l e s /Windows Sidebar /Gadgets/ SlideShow. Gadget/ images / Tulip. 59 /mnt/ part1. dd/programdata/ Microsoft /Windows NT/MSScan/WelcomeScan. 60 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5 /12XQTGEN/468x60_mcd_meinmacchiato_mrec_n7 [ 1 ]. 61 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5 /12XQTGEN/aa_img [ 1 ]. 62 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/5BKXXLGK/111102 _bzga_fullbanner_cocktails_468x60 [ 1 ]. jp g 63 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/5BKXXLGK/aa_img [ 1 ]. 64 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/5BKXXLGK/aa_img [ 2 ]. 65 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/8J2W5CRC/111111_ICQ_77_LOGOS_234x60_ger [ 1 ]. 66 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/O6WZ71IV/111111_ICQ_77_LOGOS_468x60_ger [ 1 ]. 67 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Content. IE5/O6WZ71IV/aa_img [ 1 ]. 50

68 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/8763F26FD99D83CA22E562ECA978C9 [ 1 ]. 69 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/0C1E748E1F29D810972F8AA451B03E0Ex [ 1 ]. 70 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/336C8E3EB9AA98B3233D66AC3764D [ 1 ]. 71 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/3CA0B47AA66AAE3A726C14E37D163 [ 1 ]. 72 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/B28B76DF2C67BACE5329F33A7B2EDA [ 1 ]. 73 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/cap [ 1 ]. 74 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/CD74513DF488AF5F37D87FF26B92E2 [ 1 ]. 75 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/D32420A9B5F9409AF34326670C518 [ 1 ]. 76 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/D555EA76B3E46B9B93B8B4CF66 [ 1 ]. 77 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/469A8B58A76C394BBCCBDEF4B4D76 [ 1 ]. 78 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/4DDF4EF2252FAA621C487FF8A8744 [ 1 ]. 79 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/757D31B62D398EABE1FE7F9522755D [ 1 ]. 80 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/75DE1F271EF9D9C039626949201EBA [ 1 ]. 81 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/7D135ACF8D67EB021980EEF8F132 [ 1 ]. 82 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/7FE15357EE65DDAE4CA8E35A2BFD [ 1 ]. 83 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/83C26AC4B05334558B4BE14959A680 [ 1 ]. 84 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/EF70CEF71DC9D4AEA4298443EA915 [ 1 ]. 85 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/9M5JOC31/F4BBD5CD040F14B47E0C3F220B24E [ 1 ]. 86 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /78BB2767E76C2FFD92CFB63DC269 [ 1 ]. 51

87 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /21E1CBFD4447C97DB963EDF78E47F [ 1 ]. 88 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /57A4EACEF84D4F2FAC857146E16B20 [ 1 ]. 89 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /585B93785F75ADE7288CDA9D7C5BE [ 1 ]. 90 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /604427C1BBD614B17C9BE1EB043 [ 1 ]. 91 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /7B89876EEB40C391BA3D9D303C4544 [ 1 ]. 92 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /8886D22777512C35F275573A14C8DF [ 1 ]. 93 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /921CBCE251D0BAC7C349946345D9D [ 1 ]. 94 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /977 EEE2275390626C18626134158 [ 1 ]. 95 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /A65769D1CB7B7F0D4036D5A24AB [ 1 ]. 96 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/ CS19I6I4 /FCCCE13F2486BA191626346671A2C [ 1 ]. 97 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/4E51A610B24EDBC95DD8E4ECD111 [ 1 ]. 98 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/1C15FA28FE606C0E73E631947F8FFDEBx [ 1 ]. 99 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/2A562DD9B99B57466AC0A0F4BEE72D [ 1 ]. 100 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/3FA06BD55616A7010C27722E24746 [ 1 ]. 101 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/CE4461F738491D82A9CB134D658 [ 1 ]. 102 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/D33D3A72EDFCCEFBEECCF5F958171 [ 1 ]. 103 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/EC65B2C21D2D37C45629D418A5556D [ 1 ]. 104 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/ECEF3D33499A4383F9656EFD746 [ 1 ]. 52

105 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/F5A2C8EF4E2EC106D143AF64B5A4 [ 1 ]. 106 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/5CD4FE696CFF577A2AF5803B76F03A [ 1 ]. 107 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/6860A003FD0A92BB278E10AA4D408A8Fx [ 1 ]. 108 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/A43FE002632C63ED8D11051DEB91E [ 1 ]. 109 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/BFEE8D9C2C61E4A7DA2A61F44644C [ 1 ]. 110 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/C7AE76A6BE9E1828863BC323C52888 [ 1 ]. 111 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/JH4MQH67/FCA7A225F0DA99918F2FE1CF941BC9 [ 1 ]. 112 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/2263A18637B3ADBCCE8F9CC47525F0 [ 1 ]. 113 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/64ABB8C9D4CD62A3D3D8505CFE1 [ 1 ]. 114 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/88D04A4A73667C3D3587F3FDA66F0 [ 1 ]. 115 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/A35752615962F9F9A4EBDA573431C [ 1 ]. 116 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/A8D74EE5CAC32ED68F94E6CEAE2FD749x [ 1 ]. 117 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/ b703f53b9165fd2247bed714f107dd [ 1 ]. 118 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/B7EE719F3ED450EBCADDB5C76EEA [ 1 ]. 119 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/CF85922218888DF95EA5B2348DB28 [ 1 ]. 120 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/D52CDA7DF42072C9AC70DC5C914F84 [ 1 ]. 121 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/D9AFBBB8F416159D517EFAEEA9C4EF [ 1 ]. 122 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/FAFF5AACAB15F498F3E4512CA13268 53

[ 1 ]. 123 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows/Temporary I n t e r n e t F i l e s /Low/Content. IE5/YUZA97XI/ hprichbg [ 1 ]. 124 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / GreenBubbles. jp g 125 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / OrangeCircles. 126 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / Bears. 127 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Blue_Gradient. 128 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Garden. 129 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /HandPrints. 130 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Monet. 131 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Notebook. 132 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Peacock. 133 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Pine_Lumber. 134 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Pretty_Peacock. 135 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / Psychedelic. 136 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / Roses. 137 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Sand_Paper. 138 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / ShadesOfBlue. jp g 139 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Small_News. 140 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / SoftBlue. 141 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery / Stars. 142 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /Tanspecks. 143 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/ Local / Microsoft /Windows Mail/ Stationery /White_Chocolate. 144 /mnt/ part1. dd/ Users /MrNiceGuy/AppData/Roaming/ Microsoft /Windows/Themes/ TranscodedWallpaper. j p g 145 /mnt/ part1. dd/ Users / Public /Music/Sample Music/AlbumArt_{5FA05D35 A682 4AF6 96 F7 0773E42D4D16}_Large. j p g 146 /mnt/ part1. dd/ Users / Public /Music/Sample Music/AlbumArt_{5FA05D35 A682 4AF6 96 F7 0773E42D4D16}_Small. j p g 147 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures /Chrysanthemum. 148 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures / Desert. 149 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures /Hydrangeas. 150 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures / J e l l y f i s h. 151 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures /Koala. 54

152 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures / Lighthouse. 153 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures / Penguins. 154 /mnt/ part1. dd/ Users / Public / Pictures /Sample Pictures / Tulips. 155 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp1. 156 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp2. 157 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp3. 158 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp4. 159 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp5. 160 /mnt/ part1. dd/windows/ G l o b a l i z a t i o n /MCT/MCT DE/ Wallpaper /DE wp6. 161 /mnt/ part1. dd/windows/ Microsoft.NET/Framework/v2.0.50727/ASP. NETWebAdminFiles / Images/ASPdotNET_logo. jp g 162 /mnt/ part1. dd/windows/ Microsoft.NET/Framework/v2.0.50727/ASP. NETWebAdminFiles / Images/darkBlue_GRAD. j pg 163 /mnt/ part1. dd/windows/ Microsoft.NET/Framework/v2.0.50727/ASP. NETWebAdminFiles /Images/ help. 164 /mnt/ part1. dd/windows/ Microsoft.NET/Framework/v2.0.50727/ASP. NETWebAdminFiles / Images/ security_ watermark. jp g 165 /mnt/ part1. dd/windows/ Microsoft.NET/Framework/v2.0.50727/ASP. NETWebAdminFiles /Images/topGradRepeat. 166 /mnt/ part1. dd/windows/ S e r v i c e P r o f i l e s / NetworkService /AppData/ Local / Microsoft / Media Player / Grafikcache /LocalMLS/{8C4AEC5E 8FA9 4D9F 9289 FA8453DB1602 }. 167 /mnt/ part1. dd/windows/ S e r v i c e P r o f i l e s / NetworkService /AppData/ Local / Microsoft / Media Player / Grafikcache /LocalMLS/{92C83F2F 0BBE 4686 AE36 6D8C8E97807C }. 168 /mnt/ part1. dd/windows/ S e r v i c e P r o f i l e s / NetworkService /AppData/ Local / Microsoft / Media Player / Grafikcache /LocalMLS/{CCDA5251 A7ED 444A 8200 C75CC97380DA }. 169 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 001. 170 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 002. 171 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 006. 172 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 007. 173 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 008. 174 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 009. 175 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 013. 176 /mnt/ part1. dd/windows/system32/xpsviewer/de DE/ config mui/young_preteen_porn 014. 177 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img13. 178 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img14. 179 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img15. 180 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img16. 181 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img17. 182 /mnt/ part1. dd/windows/web/ Wallpaper/ Architecture /img18. 183 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img19. 184 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img20. 185 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img21. 186 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img22. 55

187 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img23. 188 /mnt/ part1. dd/windows/web/ Wallpaper/ Characters /img24. 189 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img10. 190 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img11. 191 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img12. 192 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img7. 193 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img8. 194 /mnt/ part1. dd/windows/web/ Wallpaper/Landscapes /img9. 195 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img1. 196 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img2. 197 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img3. 198 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img4. 199 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img5. 200 /mnt/ part1. dd/windows/web/ Wallpaper/Nature/img6. 201 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img25. 202 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img26. 203 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img27. 204 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img28. 205 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img29. 206 /mnt/ part1. dd/windows/web/ Wallpaper/ Scenes /img30. 207 /mnt/ part1. dd/windows/web/ Wallpaper/Windows/img0. 208 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows e.. ebargadgetresources_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_2c57df12005e7ecb /default_thumb. 209 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows fax common_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_0bdb050cb1f41d0c/welcomescan. 210 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows g.. ets slideshowgadget_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_253e8c58002c48e1/ Tulip. 211 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp1. 212 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp2. 213 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp3. 214 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp4. 215 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp5. 216 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows m.. ttheme de component_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f13d624211699da4/de wp6. 217 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/bears. 218 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/garden. 219 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/greenbubbles. 56

220 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/handprints. 221 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/ OrangeCircles. 222 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/peacock. 223 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/roses. 224 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/shadesofblue. 225 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/ SoftBlue. 226 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mail app_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_f12e83abb108c86c/ Stars. 227 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mediaplayer core_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_0b401942b06d4f06/dmr_120. 228 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows mediaplayer core_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_0b401942b06d4f06/dmr_48. 229 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Chrysanthemum. 230 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Desert. 231 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Hydrangeas. jp g 232 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ J e l l y f i s h. 233 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/koala. 234 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Lighthouse. 235 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Penguins. 236 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows photosamples_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_974f72e1e322d188/ Tulips. 237 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img19. 238 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img20. 239 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img21. 57

240 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img22. 241 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img23. 242 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper characters_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_61c24f69cc3498eb/img24. 243 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img10. 244 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img11. 245 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img12. 246 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img7. 247 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img8. 248 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. allpaper landscapes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_895c1fabae7e0073/img9. 249 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. l wallpaper windows_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_dae87c5811c55450/img0. 250 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img13. 251 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img14. 252 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img15. 253 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img16. 254 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img17. 255 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s.. lpaper architecture_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7d726b356f4d064c/img18. 256 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img1. 257 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img2. 258 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img3. 259 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img4. 260 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img5. 58

261 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper nature_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_7971f9ecb7ec988a/img6. 262 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img25. 263 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img26. 264 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img27. 265 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img28. 266 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img29. 267 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows s h e l l wallpaper scenes_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_481a9f966ced79b8/img30. 268 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/ Blue_Gradient. 269 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/monet. 270 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/notebook. 271 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/pine_lumber. 272 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/ Pretty_Peacock. jp g 273 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/ Psychedelic. 274 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/sand_paper. 275 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/small_news. 276 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/tanspecks. 277 /mnt/ part1. dd/windows/ winsxs / x86_microsoft windows tabletpc journal_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_1787de7505ebcb56/ White_Chocolate. 278 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df / wmpnss_bw120. 279 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df /wmpnss_bw32. 280 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df /wmpnss_bw48. 281 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df / 59

wmpnss_color120. j pg 282 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df / wmpnss_color32. 283 /mnt/ p a r t 1. dd/windows/ winsxs / x86_ microsoft windows wmpnss service_31bf3856ad364e35_6. 1. 7 6 0 0. 1 6 3 8 5 _none_035d21f62fe736df / wmpnss_color48. 284 /mnt/ part1. dd/windows/ winsxs /x86_netfx aspnet_webadmin_images_b03f5f7f11d50a3a_6. 1. 7 6 0 0. 1 6 3 8 5 _none_834696a6d561afb1/aspdotnet_logo. j p g 285 /mnt/ part1. dd/windows/ winsxs /x86_netfx aspnet_webadmin_images_b03f5f7f11d50a3a_6. 1. 7 6 0 0. 1 6 3 8 5 _none_834696a6d561afb1/darkblue_grad. jp g 286 /mnt/ part1. dd/windows/ winsxs /x86_netfx aspnet_webadmin_images_b03f5f7f11d50a3a_6. 1. 7 6 0 0. 1 6 3 8 5 _none_834696a6d561afb1/ help. 287 /mnt/ part1. dd/windows/ winsxs /x86_netfx aspnet_webadmin_images_b03f5f7f11d50a3a_6. 1. 7 6 0 0. 1 6 3 8 5 _none_834696a6d561afb1/ security_ watermark. j p g 288 /mnt/ part1. dd/windows/ winsxs /x86_netfx aspnet_webadmin_images_b03f5f7f11d50a3a_6. 1. 7 6 0 0. 1 6 3 8 5 _none_834696a6d561afb1/ topgradrepeat. j p g Listing 26: part1_nd.txt 5.4 E-Mails Die E-Mails die in dem Nutzdatenordner von Thunderbird gefunden wurden. cat Inbox: 1 $user : cat Inbox 2 From Tue Dec 20 1 3 : 2 9 : 0 2 2011 3 X Account Key : account1 4 X UIDL : 000000014 e f 0 7 f 6 2 5 X Mozilla Status : 0001 6 X Mozilla Status2 : 00000000 7 X Mozilla Keys : 8 Return Path : <thebadguy@ lavabit. com> 9 Delivered To : mrniceguy1960@dingsi. net 10 Received : from l o c a l h o s t ( l o c a l h o s t. localdomain [ 1 2 7. 0. 0. 1 ] ) 11 by f r e y a. goatpr0n. de ( P o s t f i x ) with ESMTP id 945844E5817B 12 f o r <mrniceguy1960@dingsi. net >; Tue, 20 Dec 2011 1 3 : 2 8 : 1 8 +0100 (CET) 13 X Virus Scanned : Debian amavisd new at l o c a l h o s t. localdomain 14 Received : from f r e y a. goatpr0n. de ( [ 1 2 7. 0. 0. 1 ] ) 15 by l o c a l h o s t ( lvps178 77 98 87. dedicated. hosteurope. de [ 1 2 7. 0. 0. 1 ] ) ( amavisd new, p o r t 10024) 16 with ESMTP i d EZF5LLf4Z6K5 f o r <mrniceguy1960@ dingsi. net >; 17 Tue, 20 Dec 2011 1 3 : 2 8 : 1 3 +0100 (CET) 18 Received : by f r e y a. goatpr0n. de ( Postfix, from u s e r i d 65534) 19 id 9869A1ACD8001 ; Tue, 20 Dec 2011 1 3 : 2 8 : 1 3 +0100 (CET) 60

20 Received : from karen. l a v a b i t. com ( karen. l a v a b i t. com [ 7 2. 2 4 9. 4 1. 3 3 ] ) 21 by f r e y a. goatpr0n. de ( P o s t f i x ) with ESMTP id 7035A4E5817B 22 f o r <mrniceguy1960@dingsi. net >; Tue, 20 Dec 2011 1 3 : 2 8 : 1 0 +0100 (CET) 23 Received : from a. earth. l a v a b i t. com ( a. earth. l a v a b i t. com [ 1 9 2. 1 6 8. 1 1 1. 1 0 ] ) 24 by karen. l a v a b i t. com ( P o s t f i x ) with ESMTP id BC60C11BB8D 25 f o r <mrniceguy1960@dingsi. net >; Tue, 20 Dec 2011 0 6 : 2 8 : 0 6 0600 (CST) 26 Received : from l a v a b i t. com ( ip 95 222 253 79. unitymediagroup. de [ 9 5. 2 2 2. 2 5 3. 7 9 ] ) 27 by l a v a b i t. com with ESMTP id DWB9YXQN84S0 28 f o r <mrniceguy1960@dingsi. net >; Tue, 20 Dec 2011 0 6 : 2 8 : 0 6 0600 29 Received : from 9 5. 2 2 2. 2 5 3. 7 9 30 ( S q u i r r e l M a i l authenticated user thebadguy ) 31 by l a v a b i t. com with HTTP; 32 Tue, 20 Dec 2011 0 7 : 2 8 : 0 6 0500 (EST) 33 DomainKey Signature : a=rsa sha1 ; q=dns ; c=nofws ; s=l a v a b i t ; d=l a v a b i t. com ; 34 b= YtiVOktkOMz9GUL24Sa8zQJMc8krI3PRvszWD3fbe1LLsCcNpzYikzbkdaViiLlCpNIIbbIYesk3C5uV5qouI / omi0rh4kwlkk12/oh8g2hwrocx/ thaxvu01stn1p5hyqz05wdflirlzpib0adejtuq5taw56my=; 35 h=message ID : Date : Subject : From : To : User Agent :MIME Version : Content Type : Content Transfer Encoding ; 36 Message ID : <1029.95.222.253.79.1324384086. s q u i r r e l @ l a v a b i t. com> 37 Date : Tue, 20 Dec 2011 0 7 : 2 8 : 0 6 0500 (EST) 38 S u b j e c t : Neues =? i s o 8859 1?Q? Junggem=FCse_w=E4chst_heran!?= 39 From : thebadguy@ lavabit. com 40 To : mrniceguy1960@dingsi. net 41 User Agent : S q u i r r e l M a i l / 1. 4. 1 3 42 MIME Version : 1.0 43 Content Type : text / p l a i n ; charset=iso 8859 1 44 Content Transfer Encoding : 8 b i t 45 46 Hallo Mr NiceGuy! 47 48 Danke f ü r d i e Überweisung des Geldes! I ch werde d i r in der nächsten Email 49 dann sobald ich was Neues habe d i r das Bild schicken. 50 51 Bis dann! 52 53 ~thebadguy 54 cat Drafts: Listing 27: cat Inbox 1 $user : cat Drafts 2 From Tue Dec 20 1 3 : 2 9 : 4 0 2011 3 X Mozilla Status : 0000 4 X Mozilla Status2 : 00000000 5 X Mozilla Keys : 6 FCC: mailbox :// mrniceguy1975%40 d i n g s i. net@mail. d i n g s i. net / Sent 7 X Identity Key : id1 8 Message ID : <4EF07FB4.9000803 @dingsi. net> 61

9 Date : Tue, 20 Dec 2011 1 3 : 2 9 : 4 0 +0100 10 From : mrniceguy1960@dingsi. net 11 X Mozilla Draft Info : i n t e r n a l / d r a f t ; vcard =0; r e c e i p t =0; DSN=0; uuencode=0 12 User Agent : Mozilla /5.0 (Windows NT 6. 1 ; rv : 8. 0 ) Gecko /20111105 Thunderbird /8.0 13 MIME Version : 1.0 14 To : thebadguy@ lavabit. com 15 S u b j e c t : Re : Neues =?ISO 8859 1?Q? Junggem=FCse_w=E4chst_heran!?= 16 References : <1029.95.222.253.79.1324384086. s q u i r r e l @ l a v a b i t. com> 17 In Reply To : <1029.95.222.253.79.1324384086. s q u i r r e l @ l a v a b i t. com> 18 Content Type : text /html ; charset=iso 8859 1 19 Content Transfer Encoding : 7 b i t 20 21 <html> 22 <head> 23 <meta content=" text /html ; charset=iso 8859 1" 24 http e q u i v=" Content Type"> 25 </head> 26 <body bgcolor="#ffffff" text="#000000"> 27 Am 20.12.2011 13:28, s c h r i e b <a c l a s s="moz txt link abbreviated " h r e f=" mailto : thebadguy@lavabit. com : ">thebadguy@lavabit. com:</a> 28 <blockquote 29 c i t e="mid : 1 0 2 9. 9 5. 2 2 2. 2 5 3. 7 9. 1 3 2 4 3 8 4 0 8 6. s q u i r r e l @ l a v a b i t. com" 30 type=" c i t e "> 31 <pre wrap="">hallo Mr NiceGuy! 32 33 Danke f&uuml ; r d i e &Uuml ; berweisung des Geldes! I ch werde d i r in der n&auml ; chsten Email 34 dann sobald ich was Neues habe d i r das Bild schicken. 35 36 Bis dann! 37 38 ~thebadguy 39 40 41 42 </pre> 43 </blockquote > 44 Danke Dir!<br> 45 </body> 46 </html> Listing 28: cat Drafts 62

5.5 Gefundene kinderpornographische Bilder In diesem Abschnitt nden sich die kinderpornographischen Abbildungen. Abbildung 5: young_preteen_porn-001. 63

Abbildung 6: young_preteen_porn-002. Abbildung 7: young_preteen_porn-006. 64

Abbildung 8: young_preteen_porn-007. Abbildung 9: young_preteen_porn-008. 65

Abbildung 10: young_preteen_porn-009. Abbildung 11: young_preteen_porn-013. 66

Abbildung 12: young_preteen_porn-014. Abbildung 13: 00962516. 67

Abbildung 14: 00962543. Abbildung 15: 00962569. 68

Abbildung 16: 00962596. 69

Abbildung 17: 00962616. 70

Abbildung 18: 00962644. Abbildung 19: 00962668. 71

Abbildung 20: 14649656. 72

Abbildung 21: 14904040. 73

Abbildung 22: 15027091. 74

Abbildung 23: 15027132. Abbildung 24: 15027161. 75

Abbildung 25: 15027192. 76

Abbildung 26: 15027218. Abbildung 27: 15027250. 77

Abbildung 28: 15027289. Abbildung 29: 15027322. 78