computer-forensik.org

Space-Shuttle-Festplatte forensisch analysiert

Alexander Geschonneck — Tue, 13 May 2008 13:38:39 +0000

Es gibt auf dem Forensik-Markt ja immer wieder Anbieter, die es schaffen, ungewöhnliche Pressemeldungen zu lancieren. Diesmal fand sich auf SPIEGEL ONLINE ein Artikel über die Rekonstruktion der Festplatten des im Februar 2003 auf der Mission STS-107 abgestürzten Space Shuttles “Columbia“. Die “weltweit bekanntesten Computer-Forensiker” (aha! ) haben es geschafft Teile der stark zerstörten Datenträger der “Columbia” zu rekonstruieren.

Hilfreich war dabei, dass es sich um ein älteres Festplattenmodell handelte, welches auch nur mit dem Betriebssystem DOS eingesetzt wurde. Dadurch war die Fragmentierung kein Problem und sehr große zusammenhängende Datenbereiche konnten von den unzerstörten Bereichen gerettet werden. Sicherlich ohne Frage eine sehr gute Leistung der “weltweit bekanntesten” Festplattenretter.

Link zum Artikel

Vortrag auf dem LinuxTag

Alexander Geschonneck — Tue, 06 May 2008 13:29:09 +0000

Ich werdem am 30.05.2008 auf dem LinuxTag in Berlin einen Vortrag über die “Möglichkeiten und Grenzen des Einsatzes von Linux in der Computer-Forensik” halten.

Das volle Programm gibt es hier.

mehr Infos über COFEE

Alexander Geschonneck — Fri, 02 May 2008 14:02:49 +0000

Es ist ja nun durch viele Blätter gerauscht, dass Microsoft ein kostenloses Forensiktool für Strafverfolgungsbehörden zur Verfügung stellen will (COFEE - Computer Online Forensic Evidence Extractor). Nein, es wird weder durch Wände schauen noch Gedanken lesen können. Langsam wird es etwas klarer. Es wird sich dabei um eine Erweiterung von bereits vorhandenen IR-Tools ala F.R.E.D., RootkitRevealer oder WFT handeln - insgesamt ca .150 bereits vorhandene Forensikwerkzeuge. Das ganze mit einem GUI versehen und professionell gewartet. Es werden wohl weder Hintertüren eingebaut oder ausgenutzt.

Kim Zetter schreibt dazu

COFEE, according to forensic folk who have used it, is simply a suite of 150 bundled off-the-shelf forensic tools that run from a script. None of the tools are new or were created by Microsoft. Microsoft simply combined existing programs into a portable tool that can be used in the field before agents bring a computer back to their forensic lab.

Microsoft wouldn’t disclose which tools are in the suite other than that they’re all publicly available, but a forensic expert told me that when he tested the product last year it included standard forensic products like Windows Forensic Toolchest (WFT) and RootkitRevealer.

With COFEE, a forensic agent can select, through the interface, which of the 150 investigative tools he wants to run on a targeted machine. COFEE creates a script and copies it to the USB device which is then plugged into the targeted machine. The advantage is that instead of having to run each tool separately, a forensic investigator can run them all through the script much more quickly and can also grab information (such as data temporarily stored in RAM or network connection information) that might otherwise be lost if he had to disconnect a machine and drag it to a forensics lab before he could examine it.

3. erweiterte Auflage "Computer Forensik" erschienen!

Alexander Geschonneck — Wed, 30 Apr 2008 17:14:01 +0000

Ich halte gerade die ersten Exemplare der 3. aktualisierten und erweiterten Auflage meines Buches “Computer Forensik. Computerstraftaten erkennen, ermitteln, aufklären.” in den Händen. Für die 3. Auflage wurden

die Werkzeugbeschreibungen aktualisiert und neue Ermittlungsmethoden aufgenommen. Neue Themen sind digitale Spurenanalyse von Windows Vista und aktuelle Entwicklungen bei der Analyse von Hauptspeicherinhalten. Das Kapitel zu Mobiltelefonen wurde komplett überarbeitet und um die Analyse von SIM-Karten ergänzt.

Zusätzlich habe ich den Ermittlungsprozess weiter standardisiert und das S-A-P Modell weiter ausgebaut. Da ich ja für das BSI das Thema “Behandlung von Sicherheitsvorfällen” in den IT-Grundschutzkatalogen aktualisiert habe, finden sich nun auf einander abgestimmte Handlungsanweisungen und Empfehlungen in beiden Werken.

Beschwerden wegen der Farbe nehme ich nicht an.

Link zu Amazon

CEIC 2008: Block based Hash Analyse mit EnCase

Alexander Geschonneck — Wed, 30 Apr 2008 10:56:47 +0000

Meine geschätzter Kollege Sebastian Krause weilt gerade auf der CEIC in Las Vegas (jetzt bitte an dieser Stelle keinen Neid aufkommen lassen, bitte!). Es gibt ja bereits einige Wrap Ups der aktuellen Sessions beispeilsweise über die forensische Analyse von MAC-Rechnern - mit MAC oder ohne MAC, etwas zum Thema Vista und Bitlocker usw. Sebastian berichtet nun von einem spannenden Vortrag von Simon Key über Block based Hashes mit EnCase:

Wenn man die Hashes von bekannten Dateien in einem Hash-Set gespeichert hat, kann man mit dem EnScript im freien Speicherbereich eines Images nach teilweisen oder ganzen Übereinstimmungen suchen. Das Skript gibt dann unter anderem an, wie viele Blöcke mit dem Original übereinstimmen. Der Ansatz von ssdeep ist damit quasi in einem EnScript umgesetzt worden. Da das ganze auf den freien Speicherbereich abzielt, möchte Simon Key das aber zum Fuzzy Hashing abgrenzen, bei dem zwei existente Dateien verglichen werden. Ist natürlich super für die Suche nach Fragmenten von Bildchen geeignet, um zu belegen, ob diese jemals auf einem System gespeichert waren.

“Normale” Hash- oder auch Signatur-Suchen werden weiterhin nötig sein. Die hier beschriebene Methode dient der Suche nach fragmentierten gelöschten Dateien, die mittels Signatursuche nicht auffindbar und recoverbar sind.

Link zum EnScript und den Folien.

Sicherheitsprobleme mit FTK 2.0

Alexander Geschonneck — Sat, 26 Apr 2008 07:25:52 +0000

Anwender von Access Data FTK 2.0 sollten bald Version 2.0.2 einspielen, die gestern veröffentlicht wurde. Andreas Schuster hat diverse Sicherheitsprobleme ,sowohl in der Datenbankkonfiguration, als auch bei FTK selbst identifiziert und nun nach Veröffentlichung der neuen FTK-Version publiziert.

Wer also noch FTK 2.0 einsetzt und die Sicherheit seiner Laborumgebung nicht gefährden will, wenn diese nicht komplett offline ist, sollte FTK 2.0.2 einspielen. Es sind auch einige Stabilitätsverbesserungen in die neue Version eingebaut worden.

Live Response mit F-Response

Alexander Geschonneck — Thu, 24 Apr 2008 15:30:02 +0000

Aus Florida kommt die Software F-Response, mit der die Live Response von Windows-Systemen einfacher und besser werden soll. Es gibt schon die ersten Jubelschreie über das Tool. Der Hersteller hat mir eine Demo-Version zur Verfügung und ich werde bei Gelegenheit über den Einsatz berichten. F-Response funktioniert im Grundsatz wie folgt:

Man kann von der F-Response Analyse-Workstation über das Netz auf die Datenträger der verdächtigen Windows-Maschine zugreifen, auf der der eine Applikation zu starten ist. Dabei werden mittels eines SCSI-Protokoll-Layers die logischen, raw und physikalischen Datenträger Devices über die Analyse-Workstation zugreifbar gemacht. Da das ganze read-only passiert, kann man nun entspannt Images erstellen oder diverse IR-Skripte starten usw.

Es werden drei unterschiedliche Versionen unterschieden:

F-Response Field Kit: es kann immer nur ein System gleichzeitig analysiert werden, da der USB Lizenz-Dongle in der verdächtigen Maschine stecken muss. Finde ich jetzt eher unschön, von wegen MAC Timestampd und so.
F-Response Consultant: es können mehrere Systeme gleichzeitig über das Netz analysiert werden. Der Lizenz-Dongle steckt in der Analyse-Workstation.
F-Response Enterprise: es können mehrere Systeme gleichzeitig über das Netz analysiert werden und über eine Appliance erweitert werden, um mehreren Ermittlern den Zugriff zu ermöglichen.

Die Preise rangieren von $299 bis zu $4.999

X-Ways Forensics: Update 14.9

Alexander Geschonneck — Sat, 19 Apr 2008 12:28:09 +0000

Mit der Veröffentlichung von X-Ways Forensics in der Version 14.9 wurde nun die Möglichkeit geschaffen, hibernation-Dateien (Ruhezustand) forensisch zu analysieren. Der Autor der dafür ebenfalls verwendbaren frei verfügbaren Bibliothek “Sandman” Matthieu Suiche ist nun verwundert ob der zeitlichen Koinzidenz. Er hat seine unter GPLv3 stehenden Werkzeuge Ende Februar veröffentlicht. Ich kann mir aber beim besten Willen nicht vorstellen, dass ein professionell agierendes Unternehmen wie X-Ways hier nicht korrekt handelt. Bin über den weiteren Verlauf der Geschichte gespannt und sicher, dass sich alles aufklären lässt. Anbei aber noch die Featureliste von Version 14.9:

* WinHex und X-Ways Forensics geben nun einen Hinweis darauf,
wenn eine Datei in einem NTFS-Dateisystem nur teilweise mit
Daten gefüllt wurde. Solche Dateien werden in der Attribut-
spalte mit der Anmerkung "partial init" (teilweise Initia-
lisierung) versehen und können darauf hin gefiltert werden.
Die Größe des tatsächlich initialisierten/definierten Bereichs
einer Datei wird in der Informationsspalte angezeigt, wenn
eine solche Datei geöffnet wird oder wenn Sie sie im Datei-
Modus ansehen, hinter dem Vermerk “Davon initialisiert:”.
Der nicht initialisierte Teil wird in einer anderen Farbe
angezeigt. Suchtreffer im nicht initialisierten Teil einer
Datei werden als “Schlupf usw.” gekennzeichnet. Die Tatsache,
daß eine Datei auf dem Originaldatenträger nur teilweise
initialisiert war (aber nicht das Ausmaß) wird auch in
Containern gespeichert und erkennbar.

All dies soll fachkundige Computerforensik-Spezialisten davor
bewahren, falsche Schlüsse zu ziehen. Dieses Risiko besteht,
weil Daten, die in den allozierten Clustern einer Datei
gespeichert sind, alte Daten sein können, die auf dem Daten-
träger vorhanden waren, bevor die Cluster jener Datei zuge-
wiesen worden, wenn die Cluster nie tatsächlich mit neuen
Daten überschrieben worden sind. D. h. es kann sich um Daten
handeln, die mit der Datei nichts zu tun haben, obwohl sie
der logischen Dateigröße zufolge Teil der Datei sind.

Typischerweise sind u. a. folgende Dateitypen oft nicht
vollständig initialisiert:
- Windows Registry
- Windows Event Log (.evt and .evtx)
- CRMLOG
- Outlook PST
- Outlook Express DBX
- Windows MediaPlayer databases
- Windows Reliability Monitor
- SystemIndex Indexer CiFiles
- Microsoft Network Downloader
- Windows Font Cache
- Windows Vista thumbcache
- Windows rescache
- Microsoft IME User Dictionary
- Java .jsa
..außerdem Datenbank-Dateien, temporäre Dateien und generell
Dateien, die von Anwendungen erzeugt wurden, die sich gern
Speicherplatz vorab reservieren, aus Performanzgründen und/
oder um spätere Dateifragmentierung zu vermeiden.

* Beim Extrahieren von E-Mails und Datei-Anhängen werden
Datei-Anhänge nun Unterobjekte der jeweils zugehörigen E-
Mail. (nur mit forensischer Lizenz) Das vereinfacht es deut-
lich, die Dateianhänge zu einer bestimmten E-Mail zu finden
oder die E-Mail zu finden, die einen bestimmten Datei-Anhang
enthält. Wegen dieses Verhältnisses (übergeordnetes und
untergeordnetes Objekt) können Sie nun bequem die enthaltende
E-Mail beim Kopieren von Anhängen mit in einen Container
kopieren, oder beim Kopieren von E-Mails die zugehörigen
Anhängen mit kopieren. Das Markieren einer E-Mail markiert
auch ihre Datei-Anhänge. Das Markieren eines Datei-Anhangs
markiert auch die enthaltende E-Mail, zumindest halb. Die
alte Logik der E-Mail-Extraktion von v14.8 und älter, in der
Datei-Anhänge in einem separaten Verzeichnis namens "Attach"
gesammelt wurden, kommt noch immer zur Anwendung, wenn Sie
keine Dateien mit Unterobjekte erlauben (s. Optionen |
Verzeichnis-Browser). Beachten Sie, daß diese Option in
künftigen Versionen früher oder später entfallen wird. Sie
war in v14.8 nur aus Gründen der Kompatibilität mit älteren
Versionen eingeführt worden.

* Die Namen von angehängten und eingebetteten Dateien, die
zu E-Mails im selben Ordner im selben E-Mail-Archiv gehören,
werden nun normalerweise nicht mehr durch Einfügen einer
laufenden Nummer in eckigen Klammen vor der Dateiendung
künstlich eindeutig gemacht, so daß sie nun i. d. R. authen-
tisch/original sind.

* Die Wiedergabe des Rumpfes von E-Mails, die aus PST-Archiven
bei Vorhandensein von Outlook 2003 oder neuer extrahiert
werden, ist für asiatische Sprachen nun originalgetreuer.

* Der Befehl im Kontextmenü des Verzeichnis-Browsers, der in
früheren Versionen die enthaltende E-Mail zu einem gegebenen
Datei-Anhang gefunden hat, wurde umbenannt in “Übergeordnetes
Objekt aufsuchen”, in das Untermenü “Position” verschoben und
kann nun auf beliebige Dateien angewandt werden. Seine
Funktion ist nun identisch mit der Rücklöschtaste (Backspace),
und er ist nun mit allen Lizenzarten verfügbar. Außerdem
verläßt er eine rekursive Ansicht nicht mehr zugunsten einer
nicht-rekursiven Ansicht, wenn das übergeordnete Objekt in
dieser rekursiven Ansicht bereits enthalten ist.

* Auch nach dem Erkunden eines Verzeichnisses durch Anklicken
im Verzeichnisbaum finden Sie nun einen “..”-Eintrag ganz oben
im Verzeichnis-Browser, den Sie doppelt anklicken können, um
aufwärts zum jeweiligen Elternverzeichnis zu navigieren, genau
wie mit der Rücklöschtasten.

* Paßwortgeschützte Outlook PST E-Mail-Archive werde nun mit
“e!” in der Attributspalte gekennzeichnet, wenn entweder der
Verschlüsselungstest auf sie angewandt wird oder Sie versuchen,
E-Mails aus ihnen zu extrahieren.

* Die E-Mail-Extraktion prüft nun Dateien mit der Endung .pst
auf ihre Signatur und prüft ursprüngliche Dateien mit der
Endung .eml auf das Vorhandensein eingebetteter Dateien, bevor
mit der eigentlichen Extraktion begonnen wird. Dies reduziert
die Anzahl der Dateien, für die unnötigerweise “Keine E-Mails
gefunden in…” ausgegeben wird.

* Dateien, die aus ursprünglichen .eml-Dateien extrahiert
werden, werden darüber hinaus nun direkt als Unterobjekte
ausgegeben, und die E-Mail selbst wird nicht mehr unnötiger-
weise ein weiteres Mal aufgelistet.

* Einige weitere kleine Verbesserungen/Fehlerbehebungen
für die Verarbeitung von E-Mail, betreffend E-Mails mit ungewöhnlichen
Zeilenumbruchformaten sowieso Pegasus Mail und PocoMail.

* Besser strukturierte und optisch ansprechendere Präsentation
der internen Datei-Metadaten im Details-Modus für verschiedene
Dateitypen. (nur mit forensischer Lizenz)

* Die Darstellung von .lnk Shortcut-Dateien im Vorschau-Modus
und im Einsehen-Befehl ist nun optisch ansprechender. (nur mit
forensischer Lizenz)

* Metadaten-Extraktion aus MS Office 2007 XML, OpenOffice XML,
StarOffice XML, .dmp Speicher-Dumps und Dateien vom Typ PNF
(Precompiled Setup Information). Metadaten-Extraktion aus
hiberfil.sys-Dateien, .wim Vista Image-Dateien und GZ-Archiven
im Details-Modus. (nur mit forensischer Lizenz)

* Möglichkeit, sowohl aktive als auch inaktive ganze Windows
XP 32-bit hiberfil.sys-Dateien zu dekomprimieren, nachdem man
sie aus dem Image herauskopiert hat, um ein Abbild des physi-
schen Arbeitsspeichers von einem früheren Zeitpunkt zu erhalten,
als der Computer in den Ruhezustand überging. Außerdem können
einzelne xpress-Blöcke aus dem “Schlupf” von hiberfil.sys-
Dateien dekomprimiert werden, die von einem noch früheren
Zeitpunkt stammen. Diese Funktion finden Sie unter Bearbeiten
| Konvertieren. (nur mit forensischer Lizenz)

* Unterstützung für echte Unicode-Dateinamen bei der Untersu-
chung von Zip, RAR und 7zip-Archiven (nur mit forensischer
Lizenz). Beachten Sie, daß Sie zum korrekten Verarbeiten von
Dateien in Zip-Archiven mit echten Unicode-Dateinamen in den
Falleigenschaften erst die richtige Codepage angeben müssen.
Wenn das z. B. Zip-Archive sind, die unter Linux erstellt
wurden, ist das wahrscheinlich UTF-8. Für Zip-Archive, die
unter Windows in Asien erstellt wurden, ist das wahrschein-
liche eine regionale Codepage.

* Bessere Unterstützung für sehr große Archive über 2 GB.
Einige weitere kleinere Verbesserungen in bezug auf die
Verarbeitung von Archiven.

* Erzeugungs- und Zugriffszeitstempel von Dateien in Zip-
Archiven werden nun in den Datei-Überblick aufgenommen,
sofern verfügbar.

* Die Option, freien Laufwerksspeicher in ansonsten voll-
ständige sektorgenaue Images von Partitionen/Volumes _nicht_
mit aufzunehmen, ist nun auch in X-Ways Forensics verfügbar,
nicht nur in WinHex mit Specialist oder forensischer Lizenz.
Sie ist nun verfügbar, weil im Prinzip selektive Sicherungen
vollständigen Sicherungen je nach den rechtlichen Verhält-
nissen u. U. sowieso vorzuziehen sind oder sogar explizit
gefordert werden, und weil manche Staatsanwaltschaften
bestimmte Ermittlungen ohnehin auf existierende Dateien
beschränken möchten. Besondere Vorkehrungen helfen, das
unbeabsichtigte Einschalten dieser Option zu verhindern.

* Möglichkeit, nur solche ehemals existierenden Dateien
herauszufiltern, deren erster Cluster bekanntermaßen nicht
mehr verfügbar ist, mittels des neuen dritten Zustands des
Kontrollkästchens mit der Beschriftung “Ehem. exist. Objekte
anzeigen". (nur mit forensischer Lizenz)

* Möglichkeit, sich mit dem Attributfilter auf Dateien zu
konzentrieren, die Unterobjekte haben. (nur mit forensischer
Lizenz)

* Immer wenn einer oder mehrere Filter aktiv sind, die auch
tatsächlich Dateien in der aktuellen Anzeige des Verzeichnis-
Browsers herausfiltern, sind die beiden blauem Filtersymbole
in der Überschriftszeile des Verzeichnis-Browser nun anklickbar
und ermöglichen es, *alle* Filter mit einem einzigen Mausklick
auf einmal auszuschalten, um sicherzustellen, daß Sie keine
Datei versehentlich übersehen. Dies war ein oft vorgetragener
Wunsch der Benutzer. Die Filtersymbole bewirken auch ein voll-
ständiges Anzeigen der Suchtrefferliste, indem bei mehreren
ausgewählten Suchbegriffen die Einstellung “Min. x” oder “Alle
x” auf “Min. 1″ zurückgesetzt wird. Ebenso wird die Option
“Nur 1 Treffer pro Datei auflisten” ggf. ausgeschaltet. (nur
mit forensischer Lizenz)

* Möglichkeit, .e01 Evidence-Files mit einer Segmentgröße von
über 2 GB zu schreiben und zu lesen. Tatsächlich ist es nun
überhaupt nicht mehr erforderlich, sie in Segmente zu zerlegen
(außer natürlich wenn das Zieldateisystem FAT32 ist oder Sie
das Image auf CDs oder DVDs brennen möchten). Um Kompatibilität
mit früheren Version von X-Ways Forensics zu erhalten, mit
EnCase-Versions vor v6 und mit anderen Produkten, lassen Sie
sie wie früher bei 2047 MB oder weniger splitten. (nur mit
forensischer Lizenz)

* Berichtstabellen, die von X-Ways Forensics selbst erzeugt
wurden (durch v14.9 Preview 3 und neuer) können in Dialog-
fenstern von benutzerdefinierten Berichtstabellen nun optisch
unterschieden werden.

* Die Größenbeschränkung, die festlegt, wann ein Bild als
irrelevant für die Hautfarbenerkennung eingestuft wird, ist
nun etwas strenger: Breite oder Höhe nicht mehr als 8 Pixel,
oder Breite und Höhe beide nicht mehr als 16 Pixel. (nur mit
forensischer Lizenz)

* Möglichkeit, virtuell angehängte Dateien in einem Datei-
Überblick über das Verzeichnis-Browser-Kontextmenü umzube-
nennen. (nur mit forensischer Lizenz)

* Indexierung: Unnötige Unterbrechung durch eine vom Programm
geforderte Bestätigung durch den Benutzer in bestimmte Situa-
tionen verhindert. (nur mit forensischer Lizenz)

* Bilder, die in anderen Dateien eingebettet sind, können nun
auch dann in den Datei-Überblick aufgenommen werden, wenn die
jeweilige Trägerdatei komprimiert ist. (nur mit forensischer
Lizenz)

* Aus Videos extrahierte Einzelbilder werden nun auch bei
Verwendung von MPlayer nach der jeweiligen Videodatei benannt
(voll Unicode-fähig), nicht nur nach dem Zeitindex. Bei
Verwendung von Forensic Framer werden etwaige echte Unicode-
Zeichen im Dateinamen nun beibehalten. (nur mit forensischer
Lizenz)

* Wenn Video-Dateien extern angeschaut werden, stellt X-Ways
Forensics nun sicher, daß die Namen der Temporärdateien nur
triviale Unicode-Zeichen enthalten (Latin 1), aus Gründen der
Kompatibilität mit Programmen wie MPlayer, die nicht mit
echten Unicode-Zeichen im Dateinamen umgehen können. (seit
v14.8 SR-4)

* Das automatische Benennen per Signatur gefundener JPEG-
Dateien nach Kameramodell und Aufnahmezeitpunkt, sofern
möglich, ist nun optional. (betrifft Specialist- und foren-
sische Lizenzen)

* Es ist nun möglich, nur halb markierte Dateien im Verzeichnis-
Browser auszugeben oder diese herauszufiltern (s. Verzeichnis-
Browser-Optionen, nur mit forensischer Lizenz).

* Option zum Export von Listen als Textdateien in Unicode.
(nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der unter bestimmten Umständen die
Signatursuche eine Datei erneut finden ließ, obwohl sie bereits
im Datei-Überblick enthalten war und eine Verdoppelung vermie-
den werden sollte.

* Nun fast vollständige interne Verwendung von Unicode für die
Benutzeroberfläche, so daß die chinesische und die japanische
Übersetzung auch dann korrekt angezeigt werden können, wenn die
in Windows aktive Codepage nicht 936 bzw. 932 ist. Verbesserte
Unicode-Unterstützung auch für Fallberichte im HTML-Format in
Chinesisch und Japanisch.

* Für bestimmte Dateitypen erkennt die Dateitypprüfung den
korrekten Dateityp nun, ohne den Typstatus grundsätzlich auf
“neu erkannt” zu setzen, selbst wenn der Typ nicht mit der
Dateinamenserweiterung übereinstimmt. Dies geschieht für
Windows Registry-Dateien (weil es normal ist, wenn diese Dateien
überhaupt keine Endung haben) und für HTML/XML-Dateien (weil
es eine Vielzahl von Endungen geben kann, die alle normal
und plausibel sind). Dies hilft, die Anzahl der Dateien mit
dem Typstatus “neu erkannt” niedrig zu halten, und erlaubt es,
sich besser auf solche Dateien konzentrieren können, die u. U.
tatsächlich falsch benannt wurden. (nur mit forensischer Lizenz)

* Findet gelöschte Partitionen nun auch dann automatisch,
wenn sie 64 Sektoren von zuvor gefundenen Partitionen entfernt
liegen (nicht nur 63 oder 2048 Sektoren wie zuvor).

* Seit der Einführung von 256-Bit-AES in WinHex/X-Ways Forensics
wurde der Verschlüsselungsalgorithmus PC1 aus Gründen der
Kompatibilität mit älteren Versionen noch weiter unterstützt.
Diese Unterstützung wurde nun eingestellt.

* Dateien vom Typ XML und HTML werden nicht mehr der Berichts-
tabelle “Ohne erkennbaren textuellen Inhalt” hinzugefügt, wenn
die Viewer-Komponente für die logische Suche/die Indexierung
keinen Text mehr aus ihnen extrahieren kann. (nur mit foren-
sischer Lizenz)

* Ein Fehler wurde behoben, der verhinderte, daß Dateien,
deren Inhalte auf NTFS-Partitionen über 2 TB hinter der 2-TB-
Grenze lagen, richtig gelesen wurden.

* Der erste Schritt der besonders intensiven Dateisystem-
Datenstruktur-Suche auf NTFS-Partitionen funktioniert nun
auch hinter der 2-TB-Grenze. (seit v14.8 SR-5)

* Ein Fehler wurde behoben beim Zusammensetzen von RAIDs über
2 TB. (seit v14.8 SR-1)

* X-Ways Forensics und X-Ways Investigator geben Ihnen nun
automatisch bis zu drei Mal Bescheid, wenn Sie sich dem Ende
Ihrer Update-Berechtigung nähern.

* Die Viewer-Komponent wird nun erst dann geladen, wenn sie
tatsächlich benötigt wird, nicht schon zwingend beim Start
der Software. (nur mit forensischer Lizenz)

* Der mit “Text” bezeichnete Schalter, der die Vorschau der
Viewer-Komponente in eine Roh-Text-Ansicht umschaltet (was
z. B. sehr hilfreich ist, wenn Sie alle Kopfzeilen einer
E-Mail sehen möchten), heißt nun “Roh”, um das Bewußtsein
dafür etwas zu schärfen, daß dieser Modus normalerweise
_nicht_ wünschenswert zum Betrachten von Dateien ist, basie-
rend auf der Erfahrung, daß viele Anwender es vergessen, von
der Roh-Ansicht zur normalen Ansicht zurückzuschalten, und
sich dann wundern, daß z. B. Office-Dokumente nicht mehr
schön angezeigt werden. (nur mit forensischer Lizenz)

* Beim Exportieren von Suchtreffern in eine tabulatorsepa-
rierte Textdatei (nicht HTML), einschließlich Kontext, wurde
der eigentliche Suchbegriff zuvor durch “x”-Zeichen ersetzt.
Dies wurde behoben. (seit v14.8 SR-4)

* Beim Exportieren von Metadaten in eine tabulatorseparierte
Textdatei werden ursprüngliche Zeilenumbrüche und Tabulatoren
nun durch Leerzeichen ersetzt. (seit v14.8 SR-4)

* Ein Fehler wurde behoben, der beim Versuch auftrat, Ver-
zeichnisdaten (Verzeichniseinträge, INDX-Puffer usw.) mit der
indirekten Füllmethode in einen Container zu kopieren. (seit
v14.8 SR-3)

* Das Verwenden von Tastenkürzeln zum Erstellen von Berichts-
tabellenverknüpfungen ersetzt nun entweder bereits bestehende
Verknüpfungen oder oder nicht, in Abhängigkeit von der
Einstellung im Dialogfenster für Berichtstabellenverknüpfungen.
(seit v14.8 SR-3)

* Ein Fehler in der Version v14.8 SR-1 wurde mit SR-2 behoben,
der das automatische Interpretieren von Images mit mehreren
Segmenten sofort nach der Erstellung betraf, zum Zwecke der
Hash-Überprüfung oder des Ersetzens des Asservats. Die Images
selbst waren in Ordnung.

* Ein Fehler beim Wiederherstellen von alternative Daten-
strömen als alternative Datenströme wurde behoben. (seit
v14.8 SR-2)

* Eine mögliche Quelle von Instabiltität im Detailsmodus wurde
behoben. (seit v14.8 SR-1)

* Eine neue Option in investigator.ini wurde eingeführt, die
es verhindert, daß in X-Ways Investigator externe Dateien an
einen Datei-Überblick angehängt werden können. (seit v14.8 SR-1)

* Unter bestimmten Umständen konnte die Fortschrittsanzeige
für logische Suchen in ausgewählten Asservaten falsch sein.
Dies wurde behoben. (seit v14.8 SR-1)

* Schnellere Anzeige von Metadaten-Zellen im Verzeichnis-
Browser, wenn große Datenmengen extrahiert worden waren.
(since v14.8 SR-1)

* Diverse weitere kleinere Verbesserungen.

* Die Kurzanleitungen, die von der X-Ways Forensics Produkt-
seite herunterladbar sind, wurden für v14.8/v14.9 auf den
neuesten Stand gebracht, wo sich Änderungen ergeben hatten.
Das Benutzerhandbuch wurde auch auf v14.9 angepaßt.

* Die Version 8.2 der Viewer-Komponente wurde am 14. und 20.
März weiter aktualisiert. Sie friert beim Betrachten/
Verarbeiten bestimmter HTML-Dateien nicht mehr, die in der
Version 8.1.9 normal funktioniert hatten. MS-Word-Dokumente,
die aus einer einzigen Tabelle bestanden, werden nun wieder
richtig angezeigt.

Download bei X-Ways

Inhaltsverzeichnis der 3. Auflage

Alexander Geschonneck — Wed, 16 Apr 2008 15:48:59 +0000

Anbei das Inhaltsverzeichnis der 3. aktualisierten und erweiterten Auflage meines Buches “Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären.”

Geleitwort
Einleitung 1
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Was ist neu in der 3. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Bedrohungssituation 11
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . 11
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 23

2 Ablauf von Angriffen 29
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 30
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 31
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 31
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 32
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3 Incident Response als Grundlage der Computer-Forensik 41
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 41
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 42
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 43
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 45
3.4.1 Vom Verdacht zum Beweis . . . . . . . . . . . . . . . . . . 45
3.4.2 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 47
3.4.4 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 48
3.4.5 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 50
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 53
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 56
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 57

4 Einführung in die Computer-Forensik 61
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 Anforderungen an den Ermittlungsprozess . . . . . . . . . . . . 62
4.3 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.4 Das S-A-P-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.5 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 66
4.6 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 73
4.6.1 Juristische Bewertung der Beweissituation . . . . . . 74
4.6.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.6.3 Welche Daten können erfasst werden? . . . . . . . . . 78
4.6.4 Bewertung der Beweisspuren . . . . . . . . . . . . . . . . . 78
4.6.5 Durchgeführte Aktionen dokumentieren . . . . . . . . 79
4.6.6 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 80
4.6.7 Mögliche Fehler bei der Beweissammlung . . . . . . . 82
4.7 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 85
4.8 Speichermedien sichern: forensische Duplikation . . . . . . . 87
4.8.1 Wann ist eine forensische Duplikation sinnvoll? . . 89
4.8.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 89
4.9 Was sollte alles sichergestellt werden? . . . . . . . . . . . . . . . 91
4.10 Erste Schritte an einem System für die Sicherstellung . . . . 92
4.10.1 System läuft nicht (ist ausgeschaltet) . . . . . . . . . . 92
4.10.2 System läuft (ist eingeschaltet) . . . . . . . . . . . . . . . 93
4.11 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . 93
4.12 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
4.13 Anti-Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

5 Einführung in die Post-mortem-Analyse 101
5.1 Was kann alles analysiert werden? . . . . . . . . . . . . . . . . 101
5.2 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.3 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
5.4 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
5.5 Vistas TxF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.6 Vistas Volumen-Schattenkopien . . . . . . . . . . . . . . . . . . . 112
5.7 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.8 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.9 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . 119
5.10 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . 120
5.11 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.12 Analyse von Netzwerkmitschnitten . . . . . . . . . . . . . . . . 133

6 Forensik- und Incident-Response-Toolkits im Überblick 135
6.1 Grundsätzliches zum Tooleinsatz . . . . . . . . . . . . . . . . . . 135
6.2 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 137
6.3 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6.4 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 143
6.5 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
6.6 ForensiX-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
6.7 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
6.8 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
6.9 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 160
6.10 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 161
6.11 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 164
6.12 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
6.13 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . . 170
6.14 Eigene Toolkits für Unix und Windows erstellen . . . . . . 175
6.14.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
6.14.2 Incident Response Collection Report (IRCR) . . . 176
6.14.3 Windows Forensic Toolchest (WFT) . . . . . . . . . . 177
6.14.4 Live View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

7 Forensische Analyse im Detail 181
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 181
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 181
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 187
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 195
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . . 202
7.1.5 Dateiwiederherstellung mit unrm und lazarus . . . 208
7.1.6 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 209
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . . 212
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 213
7.2.2 Analyse des Hauptspeichers . . . . . . . . . . . . . . . . 216
7.2.3 Forensische Duplikation . . . . . . . . . . . . . . . . . . 222
7.2.4 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 227
7.2.5 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 228
7.2.6 P.m.-Analyse der Images mit EnCase . . . . . . . . . 233
7.2.7 P.m.-Analyse der Images mit X-Ways Forensics . 236
7.2.8 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 240
7.3 Forensische Analyse von mobilen Geräten . . . . . . . . . . . 255
7.3.1 Was ist von Interesse bei mobilen Geräten? . . . . 256
7.3.2 Welche Informationen sind auf der
SIM-Karte von Interesse? . . . . . . . . . . . . . . . . . . 257
7.3.3 Grundsätzlicher Ablauf der Sicherung
von mobilen Geräten . . . . . . . . . . . . . . . . . . . . . 258
7.3.4 Software für die forensische Analyse
von mobilen Geräten im Überblick . . . . . . . . . . . 260
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 268

8 Empfehlungen für den Schadensfall 271
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . 273
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 274
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

9 Backtracing 279
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . 279
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . 279
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 280
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . 280
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 281
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 282
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 282
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

10 Einbeziehung der Behörden 297
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . 297
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 299
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 299
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 299
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 302
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 303
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . 304
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 305
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Anhang
Tool-Überblick 311
Literaturempfehlungen 317
Stichwortverzeichnis 319

The Sleuthkith 2.52

Alexander Geschonneck — Fri, 11 Apr 2008 12:50:46 +0000

Brian Carrier hat gestern Version 2.52 seiner CLI Forensik-Toolsammlung The Sleutkit (TSK) veröffentlicht.

Die nun vorliegende Version behebt einige Fehler bei der Darstellung von gelöschten FAT-Verzeichnissen sowie gelöschten ext2/3- und ufs-Verzeichnissen. Die letzte Version der libwef (Expert Witness Compression Format) wird nun ebenfalls unterstützt.

Download

Nachhilfe für reguläre Ausdrücke

Alexander Geschonneck — Fri, 11 Apr 2008 09:30:36 +0000

Wer bei der Anwendung von regulären Ausdrücken nicht ganz so sattelfest ist, kann sich mit dem Free Online Regulary Expression Testing Tool vertraut machen. Die recht flott bedienbare Flash-Anwendung unterstützt auch den “Zusammenbau” von komplexen regulären Suchausdrücken.

RegExr is an online tool for editing and testing Regular Expressions (RegExp / RegEx). It provides a simple interface to enter RegEx expressions, and visualize matches in real-time editable source text. It also provides a handy RegExp snippet sidebar with descriptions and usage examples to make it easier to learn Regular Expressions through trial and error.

Von Rüstungen und Hawaii-Hemden

Alexander Geschonneck — Fri, 11 Apr 2008 08:55:47 +0000

Das Zitat des Tages fand ich heute bei Spiegel Online. Ein Interview mit Jewgenij Walentinowitsch Kaspersky produzierte folgenden Satz:

“Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden.”

Volatools geht an Microsoft?

Alexander Geschonneck — Thu, 10 Apr 2008 16:19:18 +0000

Da habe ich doch bei der Heise-Meldung “Microsoft kauft Anti-Rootkit-Firma” nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte. Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte man Speicherabbilder von Windows-Systemen im raw- bzw. dd-Format analysieren.

AAron Walters hat dann Ende 2007 ein ähnliches Framework unter dem Namen Volatility veröffentlicht - im Vergleich zu den Volatools ist der Quellcode aber verfügbar. Mit Volatility lassen sich ebenfalls Hauptspeicherabbilder von einem Windowssystem (XP SP2) analysieren. Man erhält dann Informationen über die laufenden Prozesse, die geöffneten Netzwerk Sockets, die aktiven Netzwerkverbindungen, die geladenen Bibliothelen, die durch die einzelnenen Prozesse geöffneten Dateien usw.

RegRipper in neuer Version [update]

Alexander Geschonneck — Thu, 10 Apr 2008 15:50:10 +0000

Harlan Carvey hat Version 2.0A seines Tools RegRipper veröffentlicht. Mit RegRipper kann man sehr komfortabel diverse Registry-Keys analysieren. Besonderes Augenmerk liegt hier bei den MRU- und UA-Keys, die gerade bei der Analyse von nutzungsspuren wichtig sind. Neben der GUI-Version rrb.exe gibt es nun auch eine CLI-Version rli.exe, die etwas handlicher ist und auch in eigene Skripte einbaubar ist.

Die Ausgabe der CLI-Version rli.exe von RegRipper erfolgt auf der Console, läst sich aber in eine Datei umleiten. RegRipper ist um verschiedene Plugins erweiterbar. Mit der Option -l lassen sich die enthaltenen Plugins auflisten.
[~alex]rip.exe -l 1. acmru v.20080324 [NTUSER.DAT] - Gets contents of user’s ACMru key 2. adoberdr v.20080324 [NTUSER.DAT] - Gets user’s Adobe Reader cRecentFiles values 3. aim v.20080325 [NTUSER.DAT] - Gets info from the AOL Instant Messenger (not AIM) install 4. appinitdlls v.20080324 [Software] - Gets contents of AppInit_DLLs value 5. applets v.20080324 [NTUSER.DAT] - Gets contents of user’s Applets key 6. apppaths v.20080404 [Hive file] - Gets content of App Paths key 7. auditpol v.20080327 [Security] - Get audit policy from the Security hive file 8. bho v.20080325 [Software] - Gets Browser Helper Objects from Software hive 9. cmd_shell v.20080328 [Software] - Gets shell open cmds for various file types 10. comdlg32 v.20080324 [NTUSER.DAT] - Gets contents of user’s ComDlg32 key 11. compdesc v.20080324 [NTUSER.DAT] - Gets contents of user’s ComputerDescriptions key 12. compname v.20080324 [System] - Gets ComputerName value from System hive 13. devclass v.20080331 [System] - Get USB device info from the DeviceClasses keys in the System hive 14. fw_config v.20080328 [System] - Gets the Windows Firewall config from the System hive 15. imagefile v.20080325 [Software] - Gets Image File Execution Options subkeys w/ Debugger value 16. listsoft v.20080324 [NTUSER.DAT] - Lists contents of user’s Software key 17. logonusername v.20080324 [NTUSER.DAT] - Get user’s Logon User Name value 18. logon_xp_run v.20080328 [NTUSER.DAT] - Autostart - Get XP user logon Run key contents from NTUSER.DAT hive 19. mmc v.20080324 [NTUSER.DAT] - Get contents of user’s MMC\Recent File List key 20. mndmru v.20080324 [NTUSER.DAT] - Get contents of user’s Map Network Drive MRU 21. mountdev v.20080324 [System] - Return contents of System hive MountedDevices key 22. mp2 v.20080324 [NTUSER.DAT] - Gets user’s MountPoints2 key contents 23. mpmru v.20080324 [NTUSER.DAT] - Gets user’s Media Player RecentFileList values 24. mspaper v.20080324 [NTUSER.DAT] - Gets images listed in user’s MSPaper key 25. muicache v.20080324 [NTUSER.DAT] - Gets EXEs from user’s MUICache key 26. network v.20080324 [System] - Gets info from System\Control\Network GUIDs 27. networkcards v.20080325 [Software] - Get NetworkCards 28. nic_mst2 v.20080324 [System] - Gets NICs from System hive; looks for MediaType = 2 29. officedocs v.20080324 [NTUSER.DAT] - Gets contents of user’s Office doc MRU keys 30. realplayer6 v.20080324 [NTUSER.DAT] - Gets user’s RealPlayer v6 MostRecentClips(Default) values 31. recentdocs v.20080324 [NTUSER.DAT] - Gets contents of user’s RecentDocs key 32. recentdocs2 v.20080324 [NTUSER.DAT] - Gets contents of user’s RecentDocs key 33. regtime v.20080324 [All] - Dumps entire hive, all keys sorted by LastWrite time 34. runmru v.20080324 [NTUSER.DAT] - Gets contents of user’s RunMRU key 35. services v.20080324 [System] - Lists Services keys LastWrite times from System hive 36. shutdown v.20080324 [System] - Gets ShutdownTime value from System hive 37. soft_run v.20080328 [Software] - Autostart - get Run key contents from Software hive 38. ssid v.20080327 [Software] - Get WZCSVC SSID Info 39. termserv v.20080324 [System] - Gets fDenyTSConnections value from System hive 40. timezone v.20080324 [System] - Get TimeZoneInformation key contents 41. tsclient v.20080324 [NTUSER.DAT] - Displays contents of user’s Terminal Server Client\Default key 42. typedurls v.20080324 [NTUSER.DAT] - Returns contents of user’s TypedURLs key. 43. uninstall v.20080331 [Software] - Gets contents of Uninstall key from Software hive 44. usbstor v.20080331 [System] - Get USBStor key info 45. userassist v.20080324 [NTUSER.DAT] - Displays contents of UserAssist Active Desktop key 46. userinit v.20080328 [Software] - Gets UserInit value 47. user_run v.20080328 [NTUSER.DAT] - Autostart - get Run key contents from NTUSER.DAT hive 48. vncviewer v.20080325 [NTUSER.DAT] - Get VNCViewer system list 49. winzip v.20080325 [NTUSER.DAT] - Get WinZip extract and filemenu values

Download via SF

Update 20.04.2008: Harlan hat Version 2.01A veröffentlicht

Wordpress 2.5

Alexander Geschonneck — Mon, 07 Apr 2008 21:32:03 +0000

Ich hatte gerade ein paar Stunden Zeit und habe das Blog auf Wordpress 2.5 aktualisiert. Ich hoffe, dass alles ohne Probleme funktioniert. Wenn nicht, bitte ich um eine kurze Info. Danke.