In der aktuellen Ausgabe der KES habe ich den von mir überarbeiteten Grundschutzbaustein „Behandlung von Sicherheitsvorfällen“ vorgestellt. Weiterlesen…
Schlagwort: Artikel
Artikel über Antiforensik in iX 08/2007
In iX 08/2007 ist ein Artikel über Antiforensik- und Antidetektionsmethoden von Angreifern erschienen. Angreifer möchten weder als solche erkannt noch ihrer Taten überführt werden. Aus diesem Grund kommen immer häufiger Verfahren zum Einsatz, die entweder Angriffsspuren verwischen oder gezielt Ermittlungswerkzeuge kompromittieren sollen. Jeder Ermittler oder Sicherheitsspezialist sollte Weiterlesen…
Forensik CD aus iX 07/2007
ForensiX-CD: Hilfe bei Systemeinbrüchen
Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer – der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf der Heft-CD befindet sich eine Auswahl passender Werkzeuge nebst Anleitung.
Meine Kollege Sebastian Krause hat die Werkzeugsammlung zusammengetragen, während Enno Ewers endlich ein robustes Skript zum Sammeln flüchtiger Daten unter Linux erstellt hat, welches auch die strukturierte Sicherung des Hauptspeichers ermöglicht (siehe unten).
Kontakt: forensix at computer-forensik dot org
ForensiX-CD Skripte
ForensiX-CD Linux Incident Response Skript
ForensiX-CD Linux Incident Response Readme
ForensiX-CD Linux Incident Response Build Script für statische Binaries
ForensiX-CD angepasste Konfiguration für Windows Forensic Toolchest (WFT)
ForensiX-CD Windows Forensic Toolchest Readme
nach Erscheinen der ForensiX-CD aktualisierte Werkzeug
Windows Forensic Toolchest (WFT) Version 3.0.0.1
ForensiX-CD Grafiken
ForensiX-CD Cover
ForensiX-CD Label
ForensiX-CD Inhaltsverzeichnis
- WFT – Windows Forensic Toolchest
CD-Image zur Computeruntersuchung erstellen.
Bitte vorher genau die Anleitung lesen! - Incident Response Script für Linux
Eine Adaption des WFT für Linux, um einen Linux-Rechner bei Einbruchsverdacht live zu untersuchen.
Bitte auch hier unbedingt die Anleitung lesen! - Forensik-Software
Ausgewählte Tools für Linux/Unix und Windows - Incident Response
Tools für Linux und Windows - Anti-Rootkit-Tools
Werkzeuge zum Entdecken und Entfernen von Rootkits für Linux/Unix, Mac OS X und Windows - Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären (PDF)
Auszüge aus dem deutschsprachigen Standardwerk zum Thema Forensik.
Autor: Alexander Geschonneck; Verlag: dpunkt; 2. Auflage 2006
ForensiX-CD Version 0.2 ISO-Image
Download (SHA1 5165b45c0e475a14b01175d682add38be7842616)
iX-Artikel: zu Live View und EnCase 6
In Ausgabe 04/2007 der iX wurden zwei Forensik-Artikel veröffentlicht. In einem Artikel beschreibe ich ausführlich, wie man aus einem mit dd erstellten Datenträgerimage mit Live View eine lauffähige VMware Virtual Machine erstellt, um das verdächtige System dann zur Laufzeit analysieren zu können.
Die neue Version von EnCase (6.2) Weiterlesen…
c’t Artikel: „Auf frischer Tat ertappen – Spurensicherung am lebenden Objekt“
In c’t 05/2007 erschien – nach langen Wehen – ein Artikel von mir zum Thema „Live Response“. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet.
Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem Durst ertragen. 😉
Die Tools Weiterlesen…
Forensik-Artikel in der KES: „Tatort PC“
KES 2/2006 „Tatort PC – Ermittlungen nach dem S-A-P Modell“
Die Zeitschrift für Kommunikations- und EDV-Sicherheit „KES“ hat das Thema Computer-Forensik in Ausgabe 2/2006 zu einem Themenschwerpunkt gemacht. Ich habe die Titelgeschichte „Tatort PC“ geschrieben und mich eingehender mit dem Ermittlungsprozess beschäftigt. Dreh- und Angelpunkt war das sog. S-A-P Modell (Secure, Analyze, Present). In jeder Phase Weiterlesen…
Tools
Auf dieser Seite finden Sie zusätzliche Informationen, über die meisten in meinem Buch oder diversen Artikeln vorgestellten Computer Forensik bzw. Incident Response Werkzeuge. Weitere Tools finden Sie auch hier. Änderungen an URL, Quelltextverfügbarkeit oder Lizenzbestimmungen durch die Hersteller vorbehalten. Link defekt?
![]() |
K=kommerziell F=“frei“ verfügbar D=Demo- bzw. Trialversion verfügbar, Q=Quellcode einsehbar
AccessData FTK |
Erstellen |
Windows |
K, D |
|
Adepto |
Erstellen |
Linux |
F |
|
Autopsy Forensic |
Auswerten |
Unix, cygwin |
F, Q |
|
Captain Nemo |
Auslesen |
Windows |
K, D |
|
Chkrootkit |
Suche |
Unix |
F, Q |
|
Cryptcat |
um Verschlüsselung |
Unix, Windows |
F, Q |
|
Cygwin |
Arbeitsumgebung |
Windows |
F, Q |
|
dcfldd |
Erweitertes |
Unix |
F, Q |
|
dd |
Erstellung |
Unix, Windows |
F, Q |
|
Disk Investigator |
Analyse von Datenträgern |
Windows |
K, D |
|
EnCase |
Erstellung |
Windows |
K, D |
|
Evidor |
Suche |
Windows |
K |
|
Explore2fs |
Schnelles Einsehen |
Windows |
D |
|
Ext2fs |
Treiber |
Windows |
F |
www.fs-driver.org |
F.I.R.E. |
Sammlung |
Boot-CD (Linux), |
F, Q |
|
F.R.E.D. |
Batchfile |
Windows |
F, Q |
lokale Kopie: fred.bat |
Fatback |
Analyse |
Unix |
F, Q |
|
FileDisk |
Mounten |
Windows |
F, Q |
|
Filemon, Regmon |
Analyse |
Windows |
F |
|
foremost |
Wiederherstellung |
Unix |
F, Q |
|
Forensic |
Leistungsfähige |
Windows |
F, Q |
|
Foundstone |
Sammlung |
Windows |
F |
|
FPort |
Anzeige, |
Windows |
F |
|
Helix |
Incident |
Boot-CD (Linux), |
F |
|
iehist |
Internet |
Windows |
F, Q |
|
IRCR |
Sammeln |
Windows |
F |
|
Knoppix STD |
Um Security- |
Boot-CD (Linux) |
F, Q |
|
Md5deep |
Rekursives |
Unix, Windows |
F, Q |
|
Metadata Assistant |
Analyse |
Windows |
K, D |
|
Netcat |
Flexibles |
Unix, Windows |
F, Q |
|
Ntreg |
Mounten |
Unix |
F, Q |
|
Palmdecrypt |
Analyse |
Windows |
F |
|
Paraben’s |
Analyse |
Windows |
K, D |
|
Paraben’s SIM Seizure |
Auslesen und Analyse von PDAs, Mobiltelefonen und SIM-Karten |
Windows |
K, D |
|
Pdd |
Auslesen |
Windows |
F |
|
Psutils |
Sammlung |
Windows |
F |
|
rifiuti |
Analyse |
Windows |
F, Q |
|
SectorSpy |
Analyse |
Windows |
F |
|
streak |
Erstellung |
Boot-Floppy (OpenBSD) |
F |
|
The |
Sammlung |
Unix |
F, Q |
|
The |
Mächtige |
Unix |
F, Q |
|
X-Ways Trace |
Analyse |
Windows |
K, D |
|
X-Ways Forensics |
Hex-Editor, |
Windows |
K, D |
www.x-ways.net/
|
Live View |
erzeugt aus DD-Images lauffähige VMware-Konfigurationen |
Windows |
F,Q |
|
LiveKd |
Erzeugt Windows Crashdumps, die sich dann |
Windows |
F |
http://technet.microsoft.com/ |
KnTTools |
Damit kann der Hauptspeicher von XP64,Windows2003 |
Windows |
K |
|
Windows Forensic Toolchest (WFT) |
Sammlung von Werkzeugen zur Sammlung und Analyse |
Windows |
K, D |
|
PTfinderFE |
Grafisches Frontend für ptfinder. benötigt |
Windows |
F |
|
ptfinder |
Identifikation von _EPROCESS und _ETHREAD |
Windows |
F, Q |
computer.forensikblog.de/files/ |
poolfinder |
PoolFinder durchsucht ein Windows-Speicherabbild |
Windows |
F, Q |
computer.forensikblog.de/files/ |
pmodump |
Rekonstruiert virtuellen Speicher durch die |
Windows |
F, Q |
|
pd (Process Dumper) |
Erstellung von Speicherauszügen |
Windows, Linux |
F, Q |
|
NotMyFault |
Erstellung von Speicherabbildern |
Windows |
F, Q |
|
mp (Memory Parser) |
Grafisches Frontend für die Analyse von mit |
Windows |
F, Q |
|
kern.pl |
Identifiziert das Betriebssystem eines Windows-Speicherabbilds, |
Windows |
F, Q |
sourceforge.net/project/showfiles.php? |
Mount Image Pro |
Mounten von DD- und EnCase-Images als Laufwerksbuchstabe |
Windows |
K, D |
|
PEiD |
Identifikation von Packer- und Compilerinformationen |
Windows |
F |
|
Wireshark |
Erstellung und Analyse des Netzwerkverkehrs |
Windows, Linux, Solaris, u.a. |
F, Q |
www.wireshark.org/ |
packetyzer |
Erstellung und Analyse des Netzwerkverkehrs |
Windows |
F, Q |
|
tcpflow |
ermöglicht das Analysieren und Protokollieren |
Linux, Solaris, BSD, u.a. |
F, Q |
|
TULP2G |
Sicherung von Daten mobiler Geräte |
Windows |
F, Q |
|
Oxygen Forensics Suite |
Sicherung und Analyse von Mobiltelefonen |
Windows |
K, D |
![]() |
Windows Forensic Toolchest (WFT) |
Sammlung von Werkzeugen zur Sammlung und Analyse |
|
poolfinder |
PoolFinder durchsucht ein Windows-Speicherabbild |
|
pmodump |
Rekonstruiert virtuellen Speicher durch die |
www.lurhq.com/truman/ |
pd (Process Dumper) |
Erstellung von Speicherauszügen |
|
NotMyFault |
Erstellung von Speicherabbildern |
|
mp (Memory Parser) |
Grafisches Frontend für die Analyse von mit |
|
kern.pl |
Identifiziert das Betriebssystem eines Windows-Speicherabbilds, |
sourceforge.net/project/showfiles.php? |
Helix |
Incident Response und Forensics CD; Hybrid-CD |
|
FSP/FRU |
Client/Server Architektur zur Übermittlung |
http://sourceforge.net/project/ |
F.R.E.D. |
Batchfile zum Sammeln von flüchtigen Informationen |
|
dd.exe |
Windows-Version von dd, viele andere nützliche |
|
ptfinder |
Identifikation von _EPROCESS und _ETHREAD |
|
PTfinderFE |
Grafisches Frontend für ptfinder |
![]() |
Linux Incident Response Toolkit | sammelt flüchtige Daten unter Linux (2.4 er und 2.6er Kernel) und gibt den Hauptspeicher strukturiert aus | http://computer-forensik.org /tools/ix/forensix/ |
ForensiX-CD | Hilfe bei Systemeinbrüchen | http://computer-forensik.org /tools/ix/forensix/ |
![]() |
Linux Incident Response Toolkit | http://computer-forensik.org /tools/ix/ix-special/ |
|
ForensiX-DVD | Hilfe bei Systemeinbrüchen | http://computer-forensik.org /tools/ix/ix-special/ |
Forensik-Werkzeug Artikel in iX 03/2006
Im Rahmen der Titelgeschichte zum Thema „Dateisystemforensik und Datenrettung“ habe ich in der ix 03/2006 einen Artikel veröffentlicht, der sich mit der Leistungsfähigkeit von kommerziellen Forensik-Tools beschäftigt. Im Rahmen dieser Betrachtung wurden grundsätzliche Anforderungen an Open und Closed Source Forensik-Tools beschrieben und wie diese letztendlich auch vor Gericht zu bewerten sind.
Ergänzung: 2006-03-02 um 11:34:51: In den Artikel hat sich der Fehlerteufel eingeschlichen. Die URL zum Download des Testimages der lautet [wpdm_package id=’1694′]
Helix Artikel in iX 02/2006
In der iX 02/2006 erschien mein Artikel über die neue Version der Incident Response & Digital Forensics Evidence CD HELIX.
„Spurensammler“ Forensik Werkzeug Helix: Sicherung von Beweismitteln, review, iX 02/06, Seite 71 |
![]() |
EnCase Artikel in iX 11/05
![]() |
In der Ausgabe 11/05 der Zeitschrift iX erschien von mir ein Artikel über die neue Version des Forensikwerkzeugs EnCase in der Version 4.05.“Imagefragen“ Systemermittlung mit dem Forensik-Werkzeug EnCase, review, iX 11/05, Seite 104 |