Mich würde interessieren, welches Dateisystem die werte Leserschaft zum Speichern von Datenträgerimages verwendet. Weiterlesen…
Kategorie: Tools
USB-Geräte analysieren
Die Registry eines Windows-Systems bietet eine Vielzahl von wertvollen Informationen. So auch für die Analyse der an ein Windows-System angeschlossenen USB-Geräte. Zusätzlich zu den relevanten Hardwareinformationen kann man aus der Auswertung der setupapi.log und den User Assist Keys weitere wesentliche Erkenntnisse erlangen. Weiterlesen…
X-Ways Forensics: Update 15.1
Viele Korrekturen und Verbesserungen in X-Ways Forensics 15.1: Weiterlesen…
FTK im Bundle mit Silentrunner
AccessDatas FTK wird nun im Bundle mit Silentrunner vertrieben. Zu FTK muss ich ja nix mehr sagen, aber vielleicht zu Silentrunner. Weiterlesen…
F-Response und X-Ways Forensics im Bundle
F-Response wird nun von der Kölner Firma X-Ways Software AG im Bundle mit deren Produkt X-Ways Forensics angeboten. In der kommenden iX habe ich für einen Artikel F-Response ausgiebig getestet. Die Software bietet die Möglichkeit, unkompliziert über das Netz auf einen verdächtigen Datenträger zuzugreifen, ohne diesen dabei zu verändern. Weiterlesen…
FTK 1.80 veröffentlicht [Update]
Wie bereits durch einen Leser als Kommentar in diesem Beitrag angekündigt, hat AccessData Version 1.80 des ForensicToolKits (FTK) veröffentlicht. Nach dem wirklich mäßigen Erfolg der 2er-Version sah sich der Hersteller wohl veranlasst, nochmal bei 1.x nachzulegen. Der Registriy-Viewer ist ebenfalls auf Version 1.5.2 aktualisiert worden. Diese Version benötigt man, wenn beim Case Processing automatische Registry-Reports erstellt werden sollen. Folgende Neuerungen wurden in Version 1.80 aufgenommen:
Speicherdump mit EnCase 6.11
Lance Mueller berichtet auf seinem Blog über die Möglichkeiten, die EnCase 6.11 nun für die Sicherstellung des RAM-Inhalts bietet. Das Hauptproblem der Vorgängerversionen war bisher Weiterlesen…
X-Ways Forensics: 15.0
X-Ways Forensics ist nun in der Version 15.0 erschienen. Der Versionssprung rührt wahrscheinlich daher, dass man bei 14.9 angelangt war. Die Indexierung ist wesentlich überarbeitet worden – ich werde die neue Version gleich mal mit ein paar Problemimages füttern. Die Viewer-Komponente ist ebenfalls aktualisiert worden, also bitte auch installieren. Für Leser von Andreas Schusters Blog und Freunde der Sandman-Bibliothek wird sicherlich der folgende Hinweis aus den Release Notes von Interesse sein: „Die hiberfil.sys-Dekompression arbeitet nun getreuer dem Originalcode von Microsoft. “ 😉 Weiterlesen…
Vortragsfolien vom LinuxTag 2008 [Update]
Ich habe meine Vortragsfolien vom LinuxTag 2008 zum Download veröffentlicht. Das von mir vorgestellte Linux Incident Response Toolset Weiterlesen…
Umfrage zu FTK 2.x
Angeregt durch die doch etwas schwierigen Ergebnisse des ersten Einsatzes von FTK in der neuen Version, möchte ich von der werten Leserschaft folgendes wissen: Weiterlesen…