Umfrage: Von Index-Funktionen und anderen Grausamkeiten

iconDer Kommentar zu einem EnCase-Posting brachte mich auf die Idee, die Besucher dieser Website zu befragen, welche Index-Funktionen am meisten benutzt werden. Es ist ja allgemein bekannt, dass beispielsweise Access Data’s Forensic Tool Kit durch den Einsatz von dtsearch eine gar vorzügliche Möglichkeit bietet, einen Suchindex zu erstellen. EnCase und X-Ways Forensics versuchten mit den letzten Majorupgrades nachzuziehen – mit eher durchwachsenem Erfolg.

Um ein besseres Bild der Praxistauglichkeit der verschiedenen Lösungen zu erhalten, bitte ich um zahlreiche Abstimmung.

Ursprünglich wollte ich fragen, bei welchem Anwender der EnCase-Indexvorgang einer gut gefüllten 80Gb-Platte bis zum Ende durch läuft 😉

Update:
Wenn ein Werkzeug nicht genannte wurde, dieses aber zu empfehlen ist, bitte ich um einen Kommentar hier.

6 thoughts on “Umfrage: Von Index-Funktionen und anderen Grausamkeiten”

  1. Hallo,
    ich nutze immer noch zusaetzlich ein einfaches „grep“.
    Ich lege mir eine sogenannte „dirtyword“ liste als textfile an und lasse dann das Plattenimage mit „grep -f dirtywordlist.txt evidence.dd >dirty-grep.txt“.
    Die dirtyword liste wird im laufe eines falles immer laenger und enthaelt sachen wie z.B. IP’s, e-mail addressen usw.

    may the force be with you
    ————————-
    Obi-Wan

  2. Hallo Obi-Wan,
    das Problem dabei ist, dass die „dirtywordlist“ im Laufe der Ermittlung (besonders im WiKri-Bereich) oft angepasst wird und dann jedes mal neu gesucht werden muss. Dies kann bei einem großen Image schon etwas dauern. Deswegen die zeitsparende Suche in einem Suchindex – wenn er denn richtig erstellt wird. 😉

  3. Hallo Alexander Geschonneck,
    Da muss ich dir Recht geben. Ich nutzte die Liste ja auch als zusaetzliche Moeglichkeit.
    Wenn der Index gut ist und alles indiziert wird, kann mann mit Arbeiten.
    So genau habe ich mit den Index Funktionen noch nicht befasst. Wird jeder Inhalt indiziert ? Ich meine damit auch z.B. Binaer Dateien.

    Bisher fande ich die Kombo Strings auf das Image und Grep mit der Liste ganz gut. Aber ich werde mir die Funktionen nun mal naeher ansehen.
    Mann lernt ja nie aus und sollte immer offen fuer was neues und besseres/schnelleres sein.

    Schoenen Abend noch.

    May the force be with you
    ————————-
    Obi-Wan

  4. In einer idealen Welt werden auch binäre Dateien indexiert (im Grunde genommen wir das gesamet Image in den Indexvorgang einbezogen), um dort enthaltene lesbare Zeichen zu analysieren. FTK hat allerdings so seine Probleme mit Email-Adressen, weil das „@“ nicht im Index ist und damit eine komplette Email-Adresse nicht suchbar ist, sondern nur Adressbestandteile. Da muss man dann doch mit regulären Ausdrücken an eine zeitraubende Imagesuche ran.

    Zum Thema Email-Suche haben wir gerade Firstview von Kroll-Ontrack im Test. Ich werde zu gegebener Zeit darüber berichten.

  5. Hallo,

    Bei der Arbeit benutze ich das FTK. Meine Erfahrungen mit der Index suche sind sehr gut. Besonders gefällt mir die Möglichkeit mittels Grep im Index Suchen zu können.

    Bei XWAYS fehlt mir diese Möglichkeit sehr.

    Ralf Strehlow

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.