Shadow 2 von VOOM Technologies im Test
Eine vielschichtiges Problemfeld (nicht nur) der Computer Forensik ist die Vermittlung teilweise komplexer Ermittlungsergebnisse einem mehr oder weniger sachverständigem Publikum. Es sind machmal Magierfähigkeiten notwendig, einem Laien technische Details über Cookies, Slack-Space , Registry, DLL, MAC-Timestamps oder die Funktionsweise von Software zu erklären. Die amerikanische Firma VOOM Technologies hat genau für diesen Zweck eine Hardware mit dem Namen Shadow 2 auf den Markt gebracht.
Wir hatten das Teil bei uns im Labor zum Test und mein Kollege Sebastian Krause hat es für die Zeitschrift iX einem technischen Review unterzogen. Näheres dazu in Heft 10/2006. Zur Einstimmung hier ein paar Infos:
- Die Shadow2-Box wird zwischen Analyse-PC und dem verdächtigen Datenträger geschaltet (es fungiert auch als klassischer Writeblocker – wer 1.800$ dafür ausgeben mag ;-))
- Die verdächtige Platte kann normal gebootet werden, Lesezugriff ist transparent, Schreibzugriff scheinbar auch. Jetzt kommt aber der Clou: die Shadow2-Box führt die Schreibzugriffe nicht aus, sondern speichert sie auf einer eigenen internen Festplatte. Die verdächtige Festplatte wird nicht verändert, alle Schreibzugriffe finden nur in der Shadow2-Box statt.
- Skeptisch wie wir nun mal sind, haben wir auch mit einer HPA und mit DCO herumgespielt: Der Prüfsummenvergleich zeigt, dass der verdächtige Datenträger nicht verändert wurde.
Wozu nun das Ganze? Mit der Shadow2-Box kann man einen verdächtigen PC vor Gericht booten und das Original-Verzeichnis oder die Original-Anwendung zeigen und nicht nur nachstellen. Ist sozusagen eine Alternative zu Live View oder ProDiscover wo man ein VMware-Image eines Datenträgers erstellen kann, um sich das ganze dann unter VMWare-„Bedingungen“ anzuschauen. Man hat mit der Shadow2-Box das gleiche „Bild“ wie der User des verdächtigen PC. Ein anderes Einsatzszenario ist der Preview der Beweismittel im laufenden Betrieb, bevor man den Imager anwirft.
Leider konnten wir die Shadow2-Box nicht im Labor behalten, der deutsche Reseller wollte das Teil wieder zurück haben 😉
Update: Nein, ich habe keine Verbindungen zum Hersteller oder dem deutschen Distributor. 😉
1 thought on “Hokus Pokus mit VOOM Shadow 2”