Fragenübersicht

👉 Zurück zur Übersicht

🔍 Teil 1 – Wahr/Falsch-Fragen (Dual-Choice)

• GPT erlaubt die Verwaltung von maximal vier Partitionen. (W/F)
• Mit fsstat kann man die Partitionierung eines DOS-Datenträgers einsehen. (W/F)
• Der MBR beschreibt die Clustergröße der Dateisysteme in den Partitionen. (W/F)
• Eine primäre erweiterte Partition wird im MBR referenziert. (W/F)
• Die NTFS-Systemdatei $Bitmap zeigt belegte und freie Cluster an. (W/F)
• Zum Auslesen des RAMs braucht man keine administrativen Rechte. (W/F)
• NTFS speichert Cluster wie FAT über eine Kette in der MFT. (W/F)
• Ohne Root of Trust ist keine sichere Bootkette möglich. (W/F)
• Decompilierung liefert den originalen Quellcode mit Variablennamen. (W/F)
• Der Befehl sha256sum image.dd gibt einen 256-Byte-Hashwert aus. (W/F)

💾 Teil 2 – Master Boot Record (MBR)

• Welche Bestandteile hat der MBR?
• Was ist der Zweck des Bootloaders im MBR?
• Wie viele primäre Partitionen sind maximal möglich?
• Warum ist diese Anzahl begrenzt?
• Wie kann man mehr als vier Partitionen verwalten?
• Welche Rolle spielen erweiterte/logische Partitionen dabei?

📁 Teil 3 – FAT-Dateisystem

• Welche Aufgabe hat die File Allocation Table (FAT)?
• Was ist eine FAT-Chain?
• Wie funktioniert das Nachverfolgen von Dateiclustern in FAT?
• Was ist der FSINFO-Block in FAT32?
• Welche zwei Informationen speichert der FSINFO-Block typischerweise?
• Wie zeigt fsstat den Aufbau des Dateisystems an?
• In welchen Sektoren liegt die FAT 1 laut fsstat?
• Welche Sektoren belegt das Root Directory bei FAT16?
• Wie lautet der dd-Befehl, um die FAT 1 als Hexdump auszugeben?
• Welcher Befehl extrahiert mit dd 60 Sektoren ab Sektor 61?
• Welche Sektoren gehören zu Cluster 4 (bei Clustergröße 2048 Byte)?
• Welche Sektoren gehören zu Cluster 104?
• Wie viele Cluster hat das Dateisystem laut fsstat?
• Wie erkennt man fragmentierte Dateien in einer FAT?
• Was deutet auf fragmentierte Dateien hin?
• Wie viele zusätzliche Dateien oder Verzeichnisse gibt es (außer Root)?
• Woran erkennt man "EOF" in FAT-Chain-Informationen?
• Welche Probleme bringt Fragmentierung bei der Forensik mit sich?

📂 Teil 4 – NTFS

• Was ist $BadClus in NTFS?
• Welche Rolle hat $BadClus:$Bad?
• Wie funktionieren $INDEX_ROOT und $INDEX_ALLOCATION?
• Wie speichert NTFS Verzeichnisse intern?
• Was passiert beim Löschen einer Datei in NTFS aus Sicht der Forensik?
• Warum bleiben gelöschte Dateien oft rekonstruierbar?
• Welche Datenstruktur speichert NTFS-Dateiattribute?
• Was ist die MFT (Master File Table)?
• Wie erkennt man bad sectors in NTFS?
• Was passiert, wenn NTFS eine Datei fragmentiert speichert?

🔐 Teil 5 – Secure Boot & Sicherheitskonzepte

• Wie stellt Secure Boot sicher, dass nur vertrauenswürdige Software geladen wird?
• Was ist ein "Root of Trust"?
• Was ist die "Chain of Trust"?
• Welche Komponente in Secure Boot überprüft die Signaturen?
• Was ist der Unterschied zwischen Integrität und Authentizität?
• Was bedeutet Nichtabstreitbarkeit im Sicherheitskontext?