Die Website zum Buch "Computer Forensik" und zur Digitalen Forensik in Deutschland
Kann mir bitte mal einer erklären, warum unter Vista das Schreiben des Last Access Timestamps unter NTFS standardmäßig deaktiviert ist? Aber doch bitte nicht aus Performancegründen, oder?
Der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate steht bei Vista standardmäßig auf „1“. Weiterlesen…
Der Kommentar zu einem EnCase-Posting brachte mich auf die Idee, die Besucher dieser Website zu befragen, welche Index-Funktionen am meisten benutzt werden. Es ist ja allgemein bekannt, dass beispielsweise Access Data’s Forensic Tool Kit durch den Einsatz von dtsearch eine gar vorzügliche Möglichkeit bietet, einen Suchindex zu erstellen. EnCase und X-Ways Forensics versuchten mit den letzten Majorupgrades nachzuziehen – mit eher durchwachsenem Erfolg. Weiterlesen…
Da ist mir doch eine Backupdatei eines Blackberry (OS Version 4.1) in die Hände geraten.
Die vom Besitzer vermeintlich gelöscht geglaubten Emails waren natürlich nicht weg. Weiterlesen…
Das amerikanische FBI hat vor einigen Wochen erstmals das „Durchsuchungswerkzeug“ CIPAV (Computer and Internet Protocol Address Verifier) eingesetzt. Im Rahmen der Aufdeckung der Identität Weiterlesen…
Microsoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…
Ich hatte es hier ja bereits mit einem Praxisbeispiel erläutert, jetzt kam noch mal auf Heise.de ein anderer Hinweis: Dumpster Diving wird als Gefahr unterschätzt. In einem Test wurde Altpapier von 1135 Privat- und 869 gewerblichen Haushalten nach vertraulichen Daten durchsucht und erstaunliche Ergebnisse erzielt. Weiterlesen…
An dieser Stelle möchte ich einmal darüber berichten, wie ernst das Thema Informationsschutz wirklich sein kann. Ich höre immer wieder von Unternehmen und Behörden, die sich nicht vorstellen können, warum gerade sie ausspioniert werden sollten. Ein Beispiel aus der Praxis habe ich hier selbst für die Nachwelt exemplarisch festgehalten.
Der Kölner Stadtanzeiger hat heute einen Artikel über KHK Stefan Becker veröffentlicht, der mich bei meinem Buchprojekt unterstützt hat:
Ein typischer Arbeitstag kann damit beginnen, dass sich der Administrator des Netzwerks eines mittelständischen Unternehmens Weiterlesen…
Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.
Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…
Harlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…