Rob Lee vom SANS Institute, einem auf IT-Security spezialisierten Schulungshaus, hat die Version 1.2 der “SANS Sift Workstation” veröffentlicht. Dabei handelt es sich um einen virtuellen Linux-PC für die Vmware-Plattform, der bei forensische Analysen helfen soll:
The SANS SIFT Workstation is a VMware Appliance that is preconfigured with all the necessary tools to perform a forensic [...]
Der eine oder andere Leser hat vermutlich schon von der ehemaligen amerikanischen Lehrerin Julie Amero gehört. Amero soll Schulkindern absichtlich pornografische Bilder gezeigt haben. Der Fall ist ein Paradebeispiel dafür, wie “Sachverständige” den größten Unsinn vor Gericht behaupten können und damit immer wieder durchkommen.
Wenn sich nicht mehrere Mitarbeiter der Sicherheitsfirma Sunbelt Software freiwillig für [...]
An der School of Information and Computer Science der Australia University entstehen derzeit zwei interessante computer-forensische Live-CDs auf Linux-Basis: Die erste nennt sich Liars (Laptop Inspector and Recovery System) und soll bei der Identifizierung gestohlener und wieder aufgefundener Laptops helfen.
Man bootet das Notebook von der Live-CD und sucht dann automatisiert nach Informationen über den [...]
Weiter geht es mit der lockeren Posting-Reihe über Tools, die Computer-Forensiker einsetzen, um Spuren auf PCs zu sammeln und aufzubereiten.
Diesmal stelle ich ein kleines Tool von Mark McKinnon vor, mit dem sich die Log-Dateien, die der neue Browser von Google anlegt, untersuchen lassen. Der Google Chrome Log Parser baut aus den Chrome-Logs einen einfachen [...]
Mit dem File Slack habe ich mich bereits vor ein paar Tagen beschäftigt. Dabei handelt es sich um Daten, die unsichtbar auf der Festplatte schlummern und die möglicherweise ohne Wissen des Benutzers sensible Informationen enthalten.
Kurz noch einmal der Hintergrund: Festplatten sind in Sektoren und Cluster aufgeteilt. Cluster sind dabei die kleinste Einheit, die Windows [...]
Windows speichert für jede Datei prinzipiell drei verschiedene Zugriffszeiten:
Die Modification Time, die besagt, wann eine Datei das letzte Mal geändert und abgespeichert wurde.
Die (Last) Access Time, die besagt, wann eine Datei das letzte Mal geöffnet und betrachtet wurde.
Die Creation Time, die besagt, wann eine Datei erstellt wurde.
Alles zusammen ist ein dreifacher Zeitstempel für jede Datei, [...]
Quizfrage: Was bitte ist der File Slack? Ich hab’s bislang nicht gewusst. Um zu verstehen, was der File Slack ist, muss man sich zuerst mit Festplatten und mit Windows beschäftigen. Festplatten werden in Sektoren aufgeteilt, mehrere Sektoren sind dann wiederum ein Cluster. Je nach Dateisystem sind die Cluster größer oder kleiner. FAT kann mit nicht [...]