Lange wurde darüber spekuliert und sehr oft der Erscheinungstermin verschoben, nun soll es soweit sein: AcessData ForensicToolkit ist gestern in der Version 2.0 erschienen. Mit der neuen Version soll die Arbeit an großen Images leichter von der Hand gehen, da eine Oracle-Datenbank für die Speicherung der Case-Daten verwendet wird. Durch die Kombination mit der bereits in der Vorgängerversion 1.7 vorhandenen Suche von dtsearch, soll es spürbare Geschwindigkeitsvorteile und noch einfachere Suchmöglichkeiten geben – jetzt auch mit echter Mulitprozessorunterstützung. Bei den Dateisystemen werden FAT, FAT32, NTFS, EXT2, EXT3, ReiserFS, HFS, HFS Plus, ISO 9660, Ghost und VMware unterstützt, bei den Email-Formaten u.a. MBOX, PST, AOL, DBX, EDB, RFC 822, Hotmail, Yahoo.
Die bisher nur über das Passwort Recovery Toolkit erhältlichen Passwortanalyse-Funktionen sind nun in FTK enthalten. Ein weiterer Pluspunkt soll die Möglichkeit sein, während des Indexvorgangs weiter am Case arbeiten zu können.
Die neue Unicode und Codepage Unterstützung ermöglicht die robustere Darstellung aller Sprachen, die durch Unicode unterstützt werden, beispielsweise Arabisch, Hebräisch und das koreanische Hangul.
Mit dem ebenfalls neuen FTK Enterprise werden nun erstmals Clientkomponenten eingeführt, die auch die Sicherung flüchtiger Daten ermöglichen sollen – inklusive RAM. Dieses Konzept ist bereits von EnCase Enterprise bekannt und bedingt, dass der Agent idealerweise bereits vor dem Sicherheitsvorfall auf das kompromittierten System aufgebracht wurde.
„No scripts — all functionality is in the GUI.“ Dieser Spruch zielt klar gegen EnCase und X-Ways, allerdings ist es schon vorteilhaft, neue oder spezielle Funktionalitäten über eine Skriptsprache zu erweitern.
Sobald Version 2.0 bei uns eingetroffen ist, werde ich hier ein paar Funktionen genauer vorstellen und auch das lange angekündigte Forensik Death Match „EnCase 6 vs. FTK 2“ austragen 🙂
Link zum Hersteller
Wie sieht es denn mit einem Death Match mit X-Ways aus?
Lg aus Wien
Klar, dies hatte ich ja hier bereits angekündigt. Die Redakteure bei Heise drängeln deswegen auch schon 😉