Von Zeit zu Zeit berichte ich hier über diverse Forensik-Tools. Dies mache ich besonders gern wenn es sich dabei um Software aus deutschen Landen und besonders aus der „Ermittlerszene“ handelt. Unter dem Namen „Eyewitness Forensic Report Tools“ hat Ronny Bodach, der als EDV-Ermittler in der Kriminalpolizeiinspektion Südwestsachsen arbeitet, mehrere Werkzeuge veröffentlicht, die für den einen oder anderen in der täglichen computer-forensischen Arbeit sicherlich hilfreich sein könnten.
Im einzelnen handelt sich bei der Sammlung um folgende Komponenten:
- Forensic Video Report
- Forensic Media Report
- Forensic VCR Report
- ICQ Chat Messages Report
- Firefox 3 History Report
- Whois Report
Während es zum Firefox und Whois Reporter nix zu sagen gibt (tut genau, was es soll und wie andere Freeware-Tools auch), sind die anderen drei Werkzeuge eine nähere Betrachtung wert. Wer sich einmal Stunde um Stunde mit der Sichtung von Videobändern beschäftigen musste (oder den Unglücksraben aus dem Team dabei beobachtet hat :-)) weiß, dass es auch effektiver gehen muss. Der Entwickler der Software schreibt zu seinem Tool Forensic VCR Report:
„Bei der Forensischen Auswertung von analogen Videobändern stößt man als Auswerter oft schnell an die Leistungsgrenzen. Sämtliche Videobänder, ob nun VHS, Hi8 oder DV müssen erst langwierig gesichtet werden, um möglicherweise kompromittierendes Material, welches durchaus in einem „normalen“ Video versteckt sein könnte zu finden. Um die Zeiten für die Sichtung eines solchen Videofilmes zu verkürzen wurde Forensic VCR Report entwickelt. Forensic VCR Report generiert Einzelbilder aus einem abspielenden Videofilm und schneidet diese von handelsüblichen TV-Karten oder Video Schnittkarten mit. Dabei ist es nicht mehr notwendig das Video in Realzeit zu sichten, sondern nachdem die Videofilm „Preview“ vollständig ist, einfach noch die Snapshoots einzusehen.
Da Forensic VCR Report Voreinstellungen bezüglich der Videolänge und der Snapshoot Zeit zulässt, kann auch ein automatisierter Mitschnitt, zum Beispiel über Nacht realisiert werden.
Desweiteren ist Forensic VCR Report in der Lage mehrfach gestartet zu werden, um somit auch mit mehr als einem Video Gerät, also zum Beispiel mit 2 TV Karten zu arbeiten.“
Hat man die Filme bereits digital vorliegen, kann man Eyewitness Video Report nehmen. Auch hier werden aus dem Bildern evidente Frames als Bild extrahiert und in einer Timeline als Report ausgegeben. Diese Funktionalität gibt es dort zusätzlich übrigens auch als Addon für X-Ways Forensics.
Alle Tools laufen unter Windows. Mehr zu Eyewitness Forensic Software findet sich unter www.tatortgruppe.de
Zum gleichen Zweck gibt es seit 9/2008 bereits von Dr. Alexander Kuiper (www.kuiper.de) die Software „ForensicFramer“, welche ebenfalls in Zusammenarbeit mit „Ermittlern vor Ort“ entstand und kostenlos von Ermittlungsbehörden genutzt werden kann. Ebenso ist ein X-Ways-Support gegeben.