Hier finden Sie zusätzlich zu den im Buch erwähnten Hilfsmitteln noch weitere Unterstützung.

• Das Tool FLAG (Forensic and Log Analysis GUI) wurde nun komplett in Python umgeschrieben (no comment!). Es vereint - nun unter dem neuen Namen pyflag - unter einer HTML-Oberfläche die Möglichkeit, Festplattenimages, Sniffer- und Syslog-Dateien auszuwerten. Die darunter liegende MySQL-Datenbank ermöglicht ein Case-Management. Als Preview gelungen, für den produktiven Einsatz müssen aber noch einige Schnitzer ausgebügelt werden, aber es ist ja auch noch keine 1.0 Version. Vorsicht: Es findet derzeit keine ausreichende Authenfizierung beim Zugriff auf das HTML-Interface statt.

• Wer mal eben Binärdaten aus einem snoop oder tcpdump Capture für eine weitere Analyse herausfischen wil, sollte es mal mit dem Perl-Skript chaosreader (lokale Kopie) probieren. Das Tool extrahiert übertragene Dateien aus HTTP, SMTP und FTP Verbindungen. Einige Aufrufbeispiele: tcpdump -s9000 -w out1; chaosreader out1; netscape index.html snoop -o out1; chaosreader out1; netscape index.html ethereal (Capture speichern als”out1″); chaosreader out1; netscape index.html

• Mittlerweile spriessen die speziellen Incident Response und Forensics Boot CDs wie Pilze aus dem Boden. Ohne Anspruch auf Vollständigkeit anbei einige Vertreter (vielleicht lasse ich mich mal zu einem tieferen Review überreden, da nicht alle für alle Forensik-Szenarien einsetzbar sind): Knoppix STD, F.I.R.E., Helix, Penguin Sleuth, Trinux, Plan-B, PHLAK, Local Area Security Linux, LNX-BBC

Die im Buch angesprochenen Hilfsmittel können Sie hier herunterladen:

• Fragebogen Muster eines Fragebogens zum Erfassen von Vorfallsmeldungen
• Muster eines Beweiszettels Muster eines Beweiszettels
• geschonneck.com zahlreiche Informationen zur Computer Forensik auf meiner privaten Homepage (in englischer Sprache)

Die Hersteller der im Buch vorgestellten Werkzeuge bieten auch Schulungen an, auf die ich hier in loser Reihenfolge verweisen möchte:

• Herstellerschulungen zu X-Ways Forensics (Behördenrabatte und Inhouse-Termine möglich)
• Herstellerschulungen zu den AccessData-Produkten
• Herstellerschulungen zu der EnCase-Produktlinie
• Herstellerschulungen zu den Produkten von Paraben Forensics
• Links zu Spezialschulungen zum ILook Investigator

Hinweise zu interessanten Herstellerseminaren nehme ich gern auf (auch Erfahrungsberichte ).

Die im Buch erwähnten Testimages zum Üben und Testen der eigenen Werkzeuge finden sich hier aufgelistet:

• Testimages für die RAM-Analyse
• Testimages für die Dateisystemanalyse (NTFS, FAT, EXT3, etc.)
• Testimage eines USB-Datenträgers der Luxemburgischen Polizei mit diversen Verstecken