Mein geschätzter Kollege Sebastian Krause hat in der aktuellen Ausgabe 01/2008 der Zeitschrift iX den TreCorder© der Firma mh Service GmbH auf Herz und Nieren getestet. Was ist das Besondere an der Kiste?

In iX 08/2007 ist ein Artikel über Antiforensik- und Antidetektionsmethoden von Angreifern erschienen. Angreifer möchten weder als solche erkannt noch ihrer Taten überführt werden. Aus diesem Grund kommen immer häufiger Verfahren zum Einsatz, die entweder Angriffsspuren verwischen oder gezielt Ermittlungswerkzeuge kompromittieren sollen. Jeder Ermittler oder Sicherheitsspezialist sollte

Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer - der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf der Heft-CD in [...]

Das Windows Forensic Toolchest (WFT) zeichnete sich bereits in der Version 2 durch seinen komfortablen HTML Report aus. In der seit kurzem von Monty McDougal veröffentlichten Version 3 sind viele neue Funktionen integriert worden, die die Durchführung einer Live Response von Windows Systemen erleichtern. Die zwei herausragendsten Neuerungen sind ein interaktiver Modus und die Möglichkeit, [...]

====================================================
Das Incident Response Toolkit ist zur Sicherstellung der volatilen
Daten eines eingeschalteten Linux-Rechners mit x86-Prozessor unter den
Kernel-Versionen 2.4 und 2.6 gedacht.
Generelle Verfahrensweise:
- Aufnahme der Daten mit Hilfe des Scripts “ir-linux.sh”
Die Daten sollten moeglichst ueber Netz (TCP) auf einen anderen Rechner
geschrieben werden, um moeglichst wenig im Speicher zu aendern.
Notfalls koennen die Daten auch in einer Datei auf [...]

Forensik-Software
Ausgewählte Tools für Linux/Unix und Windows

FileAlyzer
RunAlyzer
X-Ways Trace
foremost
Ontrack Easyrecovery Datarecovery
Ontrack Easyrecovery Professional Filerecovery
PC Inspector Smart Recovery
scalpel
testdisk & photorec
fatback
Paraben-Forensics E-Mail-Examiner
Autopsy
Sleuthkit
ssdeep
SSDeepFE
sha1deep & sha256deep & md5deep
sha1sum
WinHex
explore2fs
Ext2IFS_1_10c
dd
LiveView
MountImagePro
Virtual Forensic Computing
dcfldd
dd_rescue
mmp
PTFinderFE
pd
volatools
chaosreader
ngrep
nstreams
tcpflow
tcpxtract
tshark
FTK
DCode
unxuils

Incident Response
Tools für Linux

arp
cat
date
df
dmesg
grep
hostname
ifconfig
last
ls
lsof
lspci
netstat
printenv
ps
rpcinfo
sysctl
uname
uptime
w
who
extract.pl
ir-linux.sh

Tools für Windows

WinAudit
cryptcat
nc
putty
FTimes
lads
TaskMan
ScreenHunter
WFT

Anti-Rootkit-Tools
Werkzeuge zum Entdecken und Entfernen von Rootkits für Linux/Unix, Mac OS X und Windows

Root Kit Hunter
chkrootkit
Rootkit Hunter
Rootkit Profiler
Zeppoo
Panda Antirootkit
AVG
Avira
Darkspy
F-Secure Blacklight
Helios und Helios Lite
ICESword
Trend Micro
Sophos
System Virginity Verifier
UnHackMe

ForensiX-CD: Hilfe bei Systemeinbrüchen
Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer - der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf [...]

Für alle Teilnehmer der iX Computer-Forensik-Workshops 2007 stehen nun die Vortragsunterlagen, sowie die Aufgaben- und die Lösungszettel zum Download bereit. Zugangsdaten für den Downloadbereich