Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.
In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.
Sebastians Ermittlungsschwerpunkt ist die forensische Analyse verdächtigter Windows-Systeme und da hatten wir in letzter Zeit einige wirklich interessante Nüsse zu knacken.
iX, MAGAZIN FÜR PROFESSIONELLE INFORMATIONSTECHNIK, 01/2007, Sebastian Krause, „Computerforensik: Hinterlassenschaften. Was Windows-Logfiles alles verraten“
1 thought on “Windows-Eventlog-Forensik”