Ein Ergebnis der Studie ist, dass der Mittelstand die Bedrohung durch wirtschaftskriminelle Handlungen noch immer unterschätzt. Viele dieser Unternehmen wähnen sich weniger gefährdet als Großkonzerne. Sie vernachlässigen aufgrund des Vertrauensverhältnisses zu ihren Mitarbeitern oft interne Kontrollsysteme. Alarmierend ist in diesem Zusammenhang, dass nur die Hälfte der befragten Unternehmen in den letzten drei Jahren verstärkt Maßnahmen zur Verhinderung des Verlustes von sensiblen Informationen ergriffen hat. Es war auch zu sehen, dass das Thema e-Crime an immer größerer Bedeutung gewinnt. Ist natürlich für die Leser dieses Blogs keine Überraschung. Wir werden uns diesem Thema im kommenden Jahr im Rahmen einer größeren Aktion nochmals in der Öffentlichkeit zurück melden. Mehr dazu später.

Ausgabe 0×0 enthält Artikel zu folgenden Themen:

Die Autoren schreiben auf Ihrer Webseite zu Ihrem Magazin:

Into The Boxes is an e-magazine covering issues concerning Digital Forensics and Incident Response.  The purpose of this e-magazine is NOT meant to replace  or compete with any of the other information resources within this community; in fact, it’s an attempt to augment what’s already out there, by providing additional resources in an easy-to-read and easy-to-manage format.  Into the Boxes will provide technical and managerial articles and information relating to as many challenges facing the security community as possible and will adhere to the Mission Box of this e-magazine as closely as possible.

*) Ich muss mit meinem Team leider zu einer akuten Investigation ausrücken.
**) Mehr Infos demnächst hier.

Pünktlich zum Jahresende gibt es nun noch ein Update für X-Ways Forensics. Nachdem es ja einige Zeit um die Entwickler etwas ruhiger geworden war, sind folgende umfangreiche Änderungen in Version 15.5 enthalten (BTW: es gibt jetzt auch eine “nur-imaging”-Lizenz):

* Neue E-Mail-Extraktionsfunktion für E-Mail-Archive im Format Outlook PST und OST. Chance, gelöschte E-Mails in PST und OST zu finden. Es werden nun auch mehr Informationen aus Kontakteinträgen, Kalendereinträgen und Aufgaben extrahiert, die in PST-Archiven gespeichert sind. Die neue Funktion hat auch die Fähigkeit, paßwortgeschützte PST-Archive ohne das Paßwort zu verarbeiten. Schnellere Verarbeitung als vorher. Eine Installation von Outlook/MAPI wird für die neue Funktionalität nicht benötigt.

Bei dieser neuen Methode werden einige reine Text-E-Mails als eml-Dateien (d. h. Kopf und Rumpf in eins kombiniert) dargestellt, andere als Text-Dateien, HTML-E-Mails als HTML-Dateien. Sie werden alle in der Attributsspalte als extrahierte E-Mails gekennzeichnet. Um extrahierte E-Mails zu sehen, filtern Sie nach der Attr.spalte, nicht nach Typ. Außer für die .eml-Dateien werden die E-Mail-Header als Unterobjekte angezeigt. Die bisherige Verarbeitung von PST-Dateien über die MAPI-Schnittstelle ist noch verfügbar, wenn das Kontrollkästchen “MAPI” angekreuzt ist, aber die neue Methode kommt auch dann zusätzlich zum Zug, um gelöschte Inhalte zu finden.

Das Kapitel in der Programmhilfe und im Benutzerhandbuch über die E-Mail-Extraktion wurde entsprechend überarbeitet.

* Aufgrund einer Anfrage von einem Großkunden kann X-Ways Forensics nun mit einem speziellen Lizenztyp auch als reines Tool zur Datenträgersicherung verwendet werden (d. h. nur mit der Fähigkeit zum Disk-Imaging). Die Anfrage basierte auf Geschwindigkeitstests, in denen X-Ways Forensics im Vergleich zu anderen Imaging-Tools am besten abschnitt, vor allem zusammen mit Hardware-Schreibblockern. Diese Lizenzen
nur für Datenträgersicherungen sind zu einem besonderen Preis erhältlich. Details erfahren Sie unter
http://www.x-ways.net/forensics/dongle-d.html#imaging.

* Neue “schnelle, adaptive” Kompressionsoption für Datenträgersicherungen, die einen noch besseren Kompromiß zwischen höherer Geschwindigkeit und Kopmressionsrate verspricht. Sie ist die neue Voreinstellung. Die bisherige schnelle, adaptive Kompressionsoption ist noch immer vorhanden und
heißt jetzt “normal, adaptiv”.

* Der HTML-Registry-Bericht wird nun vollständig in Tabellenform ausgegeben mit dem Ziel besserer Lesbarkeit und Übersichtlichkeit, kompaktere Darstellung, und Importierbarkeit in anderen Programme wie MS Excel (zum Sortieren oder Filtern). Kommentare über dieses neue Format sind willkommen. Der Name und der Schlüssel eines jeden Werts werden nun standardmäßig nicht mehr explizit ausgegeben, sondern können in Form eines Tooltips eingesehen werden, wenn man den Mauszeiger über ein kleines weißes Quadrat
in der betreffenden Zeile bewegt. Sollten Sie Name und Key für alle im Bericht enthaltenen Werte auf einmal sehen wollen, können Sie sie über eine Option im Kontextmenü des Registry-Viewers als Text mit ausgeben lassen.

* Der zweite Teil des Registry-Berichts gibt Ihnen nun einen Überblick über installierte Treiber, Dateisysteme
und Dienste, zusätzlich zu den bisherigen (auch noch relativ neuen) sehr hilfreichen Tabellen “Attached devices by serial number” und “Partitions by disk signature”.

* Die Index-Optimierung nutzt nun die Vorteile, die sich durch den größeren Speicheradreßraum in 64-Bit-Windows-Umgebungen ergeben.

* X-Ways Forensics läuft unter Windows 7 genauso gut wie unter Windows Vista, d. h. es gelten dieselben Einschränkungen, und keine weitere Einschränkungen.

* Verbesserte Unterstützung von dynamischen Platten, die von Windows Vista verwaltet wurden.

* Fähigkeit, bei der Datei-Header-Signatur-Suche zwiwschen DOCX, XLSC, PPTX und anderen Dateitypen zu unterscheiden.

* Informationen über den erkannten wahren Typ einer Datei (bestätigt oder neu erkannt) bleiben nun in Datei-Containern erhalten. Sie können von v15.5 und späteren Versionen importiert werden. Konsequenterweise wird die Option “Beim Kopieren mit Endung versehen” für das Befüllen von Datei-
Containern nicht mehr benötigt, und hat von jetzt an nur noch Auswirkungen auf den Befehl “Wiederherstellen/Kopieren”.

* In neu erzeugten Datei-Überblick für NTFS-Dateisysteme werden alternative Datenströme u. ä. nun als Unterobjekte derjenigen Dateien dargestellt, zu denen sie gehören. Dies ist eine getreuere Abbildung der tatsächlichen Organisation im Dateisystem, in dem ADS nicht in Verzeichnissen aufgelistet werden, sondern an ihre jeweilige Trägerdatei gebunden sind. Ein weiterer Vorteil ist, daß es jetzt leichter ist, von einem relevanten alternativen Datenstrom zu seiner Trägerdatei zu navigieren (z. B. einfach die Rücksetz-Taste drücken, wie immer, um zum jeweiligen Elternobjekt zu gelangen). Auch wird die Auflistung des Inhalts eines Verzeichnisses, das viele Dateien mit ADS enthält, auf diese Weise übersichtlicher. Kommentare über dieses neue Feature sind auch besonders willkommen.

* Möglichkeit, bestimmte Befehle des Positionsuntermenüs auch im Asservatüberblicksfenster zu nutzen: Übergeordnetes Objekt aufsuchen, FILE-Record/Index-Record/Inode/Verzeichniseintrag usw. aufsuchen, Eintrag-Nr. aufsuchen.

* Wenn Sie eine gelöschte Datei in einem Ext*-Dateisystem anklicken, für die nur ein Verzeichniseintrag bekannt ist und keine Inode, im Modus Partition bzw. Volume, springt X-Ways Forensics nun automatisch zu dem Verzeichniseintrag.

* Möglichkeit, innerhalb einer Suchtrefferliste im Asservatüberblicksfenster zum Elternobjekt zu springen, ohne die Suchtrefferlistenansicht zu verlieren.

* Wenn Betrachten von Bildern mit der Grafikbibliothek (nicht mit der Viewer-Komponente) in einem separaten Fenster können Sie “Bild auf/ab” auf Ihrer Tastatur drücken, um zum nächsten Bild in der Liste zu wechseln und es sofort in einem neuen Fenster einzusehen. Drucken Sie zusätzlich die Strg-Taste, um denselben Effekt im Fall eines Fensters der Viewer-Komponente zu haben.

* Das Icon, das im Punkt-Punkt-Eintrag (“..”) im Verzeichnis-Browser zu sehen ist, repräsentiert nun das Elternobjekt korrekter, d. h. läßt nun unterscheiden zwischen existierendem, ehem. existierendem oder virtuellem Verzeichnis, oder einer existierenden, ehem. existierenden oder virtuellen Datei. Dieses Feature ist erstmal nur testweise aktiv.

* Möglichkeit, unterdrückte Objekte in X-Ways Investigator herauszufiltern. (In X-Ways Investigator können Dateien beim Identifizieren von Duplikaten im Verzeichnis-Browser basierend auf Hash-Werten unterdrückt werden.)

* Das Anwenden der Sonderregel für das Unterdrücken von doppelten E-Mails und Dateianhängen von E-Mails im Verzeichnis-Browser basierend auf Hash-Werten ist nun optional.

* Ein Fehler bei der Darstellung des Dateisystemschlupfs in Ext*-Dateisystemen wurde behoben.

* Nicht-deterministisches Auflisten von nicht partitionierbarem Speicher auf physischen Datenträgern korrigiert.

* Deinstallationsroutine überarbeitet. Im Fall von X-Ways Forensics wird für die Deinstallation der Dongle nicht mehr benötigt.

* Möglichkeit, per Datei-Header-Signatur-Suche gefundene Dateien manuelle umzubenennen. Nützlich, um die Hive-Namen von gecarveten Registry-Dateien für das korrekte Funktionieren der Registry-Berichterzeugung nachzukorrigierenm, sofern nicht gleich automatisch richtig benannt.

* Die interpretierte Version eines Roh-Images eines physischen Datenträgers kann nun als Ziel beim Klonen angegeben werden. Dies ist nützlich z. B. dann, wenn Sie eine Reihe von Sektoren von einem Image in ein anderes kopieren möchten. Unterstützt nur in WinHex, nicht in X-Ways Forensics.

* Möglichkeit, den Computer nach Abschluß des Platten-Klonens und Wiederherstellens eines Images auf einen Datenträger automatisch herunterzufahren.

* Verbesserte Unterstützung des Zerlegens von MHT-Dateien.

* Ein Fehler wurde behoben, der beim Darstellen von GUIDs in Schablonen auftrat.

* In der ursprünglichen Version 15.4 war der Hautfarbenanteil von Bildern mit 0% initialisiert, und die Spaltenbreiten konnten im Dialog mit den Verzeichnis-Browser-Optionen nicht leicht geändert werden. Dies wurde alles mit v15.4 SR-1 behoben.

* Verbesserte Fähigkeit, Dummy-Partitionen als solche zu erkennen, die in MBRs auf im Apple-Stil GPT-partitionierten Platten auftreten. (seit v15.4 SR-2)

* Es ist jetzt optional möglich, jede Art von Filter auch auf Verzeichnisse anzuwenden. Zuvor galt dies nur für den Namensfilter. Nützlich u. U. für Zeitstempel-Filter und den Attributsfilter. S. Verzeichnis-Browser-Optionen. (seit v15.4 SR-2)

* Der Dateinamensfilter erlaubt nun optional auch eine Suche in Dateinamen mit GREP-Syntax. Die herkömmliche Notation, um Dateien zu finden, deren Namen z. B. das Wort “Rechnung”
enthält, ist *Rechnung*. Mit der GREP-Option suchen Sie einfach nach “Rechnung”. (seit v15.4 SR-2)

* Neue Option +29 in der Datei investigator.ini, die verhindert, daß der Menübefehl “Durch neues Image ersetzen” in X-Ways Investigator angeboten wird. (seit v15.4 SR-2)

* Die Schalter “Zurück” und “Vorwärts” sind nun in der Symbolleiste in X-Ways Investigator verfügbar. (seit v15.4 SR-2)

* Möglichkeit, die Historie der letzten 10 Abspeicherungen (Benutzer und Dateipfad) von MS-Word-Dokumenten in einigen seltenen Fällen auszugeben, bei denen dies bisher fehlschlug. (seit v15.4 SR-2)

* Unterstützung von Sektornummern, die größer als 2^32 sind, in Extras | Disk-Tools | Datenträger klonen. (seit v15.4 SR-2)

* Der Hautfarbenanteilsfilter funktioniert nicht in v15.4 bis SR-1. Dies wurde mit v15.4 SR-2 behoben.

* Das Editierfeld für Suchbegriffe in der Parallelen Suche erlaubt nun standardmäßig die Eingabe von Suchbegriffen mit bis zu 100.000 Zeichen insgesamt statt zuvor rd. 30.000. Wenn Suchbegriffe hingegen aus einer Textdatei geladen werden, gibt es gar keine feste Beschränkung mehr. (seit v15.4 SR-2)

* Gelegentliche Nichtverfügbarkeit des Menübefehls “Treffer permanent speichern” (für Index-Suchtreffer) korrigiert. (seit v15.4 SR-2)

* Ausnahmefehler vermieden, der in v15.4 bis SR-1 auftreten konnte, beim Anhängen externer Dateien an einen Datei-Überblick. (seit v15.4 SR-2)

* Neu eingeführte Trefferzahl für im Asservatüberblick aufgelistete Suchtreffer korrigiert. (seit v15.4 SR-2)

* Ein Fehler wurde behoben, der einen Index unvollständig machen konnte, wenn Teilworte indexiert wurden, Wörter in der Ausnahmeliste länger als die maximal indexierte Wortlänge waren und der Index optimiert wurde. Der Fehler trat nicht mit Standardeinstellungen auf. (seit v15.4 SR-3)

* Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen auftreten konnte, wenn eine Index-Suche lief.(seit v15.4 SR-3)

* Einige Details der Navigation im Verzeichnis-Browser und der Handhabung der Galerie wurden verbessert. (seit v15.4 SR-3)

* Die Beschränkung der Länge von Suchbegriffen auf 50 Bytes in der Parallelen Suche wurde für einige weitere Einstellungen aufgehoben. (seit v15.4 SR-3)

* Der Befehl Wiederherstellen/Kopieren hat die Originalzeitstempel von Dateien in Archiven in v15.4 bis SR-3
nicht wiederhergestellt. Dies wurde mit SR-4 behoben.

* Wenn Sie beim Befüllen eines Datei-Containers in mehreren Schritten den Container öffnen und interpretieren oder ihn einem Fall hinufügen, um zu sehen, welche Dateien Sie bereits in den Container kopiert haben, können Sie dieses Fenster nun geöffnet lassen und einfach einen neuen Datei-Überblick erzeugen, wann immer Sie die aktuellen Inhalte sehen möchten, nachdem Sie weitere Dateien
hinzugefügt haben. (seit v15.4 SR-4)

* Beim Exportieren des Inhalts der Metadaten-Spalte als tabulatorseparierte ASCII- oder Unicode-Textdatei werden Zeilenumbrüche nun durch Semikola ersetzt statt durch Leerzeichen, so daß die Daten besser von anderen Programmen geparst werden können. (seit v15.4 SR-4)

* Ein Fehler in der Metadaten-Extraktion von QuickTime-Dateien wurde behoben. (seit v15.4 SR-4)

* Ein vermeidbarer Sektorlesefehler wurde verhindert, der auftreten konnte, wenn echte Sektorlesefehler beim Klonen von Datenträgern auftraten. (seit v15.4 SR-4)

* Unterstützt nun gleichzeitig Lösch- und internes Erzeugungsdatum für Dateien in Datei-Containern. (seit v15.4 SR-4)

* Ein neuer Befehl wurde zum Fallmenü hinzugefügt, der es erlaubt, zuvor gespeicherte Fallberichts bequem wieder zu öffnen und in dem verknüpften oder angegebenen Programm anzuzeigen. (seit v15.4 SR-5)

* Beim Identifizieren von Duplikaten (doppelten Dateien) basierend auf Hash-Werten, wenn eine der Dateien als bereits eingesehen gekennzeichnet ist, können die Duplikate nun optional ebenfalls als bereits eingesehen gekennzeichnet werden. Oder andersherum: Wenn Dateien als Duplikate aufweisend gekennzeichnet sind und ihre Hash-Werte verfügbar sind, und eine von diesen Dateien eingesehen wird, werden sofort auch all deren Duplikate als bereits eingesehen gekennzeichnet (dies allerdings nur innerhalb desselben Datei-Überblicks). (seit v15.4 SR-5)

* Der absturzsichere Text-Decodierungsmechanismus, der mit v15.3 eingeführt wurde, ist nun optional (siehe
Optionen | Viewer-Programme), weil er langsamer ist als die frühere Methode. Beachten Sie aber, daß es sobald die Resultate im Datei-Überblick zwischengespeichert sind (nach der ersten Suche) keinen Geschwindigkeitsunterschied mehr gibt. (seit v15.4 SR-5)

* .eml-Dateien werden nicht mehr für die logische Suche und das Indexieren decodiert, wenn Sie nur nach 7-Bit-ASCII suchen bzw. diese Indexieren, weil in diesem Fall das Durchsuchen/Indexieren der .eml-Dateien in ihrem natürlichen Zustand gut genug ist. Dies spart Zeit, besonders bei aktiver absturzsicherer Text-Decodierung und reduzierte die Anzahl doppelter Suchtreffer. (seit
v15.4 SR-5)

* Wenn der Hash-Wert einer Datei zusammen mit der Datei in einen Datei-Container kopiert wird, wird er dabei nicht mehr erzwungenermaßen neu berechnet, wenn er bereits im Datei-Überblick enthalten ist. (seit v15.4 SR-5)

* Wenn Sie in einem Dialogfenster für einen spaltenbasierten Filter einen deaktivierten Filter nicht aktivieren, wird der Verzeichnis-Browser jetzt nicht mehr unnötigerweise beim Schließen des Dialogs von Grund auf neu befüllt, so daß Sie nicht auf erneutes Sortieren warten müssen und nicht Ihre Auswahl und Rollposition verlieren. (seit v15.4 SR-5)

* Suchtreffer, die gefunden werden, wenn man nicht mit einem Fall arbeitet, werden im Positions-Manager gespeichert. Sie werden nun nicht mehr automatisch dort permanent abgelegt, wenn Sie WinHex beenden, sondern dann gelöscht, außer solche, die über das Kontextmenü bearbeitet wurden. (seit v15.4 SR-5)

* Die Möglichkeit zum Verwenden der Grafikbibliothek der Version 13.6 wurde schließlich entfernt. (seit v15.4 SR-5)

* Wenn eine Parallele Suche mit den Suchbegriffen A und B durchgeführt wird, wobei B und Teilwort von A ist, dann kann ein Suchtreffer sowohl als Treffer für A als auch für B gewertet werden, und ab jetzt wird er dann als
Treffer für beides gewertet. In früheren Versionen wurde er nur einmal gespeichert, für den Suchbegriff, der als erster angegeben wurde. (seit v15.4 SR-6)

Beispiel: In “Peter Peterson” erhalten Sie nun 2 Treffer für “Peter” und 1 für “Peterson”. In früheren Versionen
hätten Sie entweder 1 Treffer für “Peter” und 1 für “Peterson” bekommen, oder 2 Treffer für “Peter”, je nach Ihrer Vorgabe.

Wenn Sie nicht mögen, daß Sie sowohl einen Treffer für “Peter” und “Peterson” im Text “Peterson” erhalten, können Sie immer noch das Kontextmenü der Suchtrefferliste nutzen, um doppelte Treffer zu eliminieren. Dieser Befehl ordnet längeren Suchbegriffen eine höhere Priorität zu, würde als den Treffer für “Peterson” behalten und den für “Peter” löschen.

* An der Funktion, die Index-Suchtreffer permanent speichert, wurde ein Fehler behoben. (seit v15.4 SR-6)

* Das Suchen in Indexen von mehreren Asservaten auf einmal von Asservatüberblick aus funktionierte nicht richtig in einigen der vorherigen Service-Releases. Dies wurde behoben mit v15.4 SR-6.

* Wenn Duplikate im Verzeichnis-Browser laut Hash unterdrückt werden, werden bevorzugt solche Dateien unterdrückt, die per Datei-Header-Signatur-Suche gefunden wurden, und Dateien mit Dateisystem-Metadaten beibehalten, weil diese wertvoller sind. (seit v15.4 SR-6)

* Es ist jetzt möglich, die Erweiterung des Datei-Überblicks für ausgewählte Asservate vom Asservat-Überblick aus zu starten. (seit v15.4 SR-6)

* Verbesserte Datei-Header-Signatur-Suche nach Roh-Bilddateien der Typen Nikon NEF und Canon CR2 als Teil der TIFF-Dateityp-Signaturdefinition. Fähigkeit, automatisch zwischen den Untertypen zu unterscheiden und die Dateigrößen richtig zu erkennen. (seit v15.4 SR-7)

* TIFF-Metadaten-Extraktion überarbeitet. (seit v15.4 SR-7)

* Metadaten-Extraktion aus Dateien vom Typ MS Office 2007, MS Office 2010 und OpenOffice 3 überarbeitet. Die typischen Felder wie Company, Author und Title haben nun dieselben Bezeichnungen wie in früheren Office-Versionen, was es leichter macht, nach ihnen zu filtern. (seit v15.4 SR-7)

* Suchtreffer von physischen Suchen auf physischen Datenträgern oder Images von physischen Datenträgern, sofern mit einem Fall als Asservat verknüpft, werden nun auch in Suchtrefferlisten angezeigt und nicht im allgemeinen Positions-Manager. (seit v15.4 SR-7)

* Ein Fehler, der unter bestimten Umständen während einer Suche auftrat und in einer Fehlermeldung wie “Unable to record a search hit” oder in früheren Versionen “Internal search term list inconsistent” mündete, wurde behoben. (seit v15.4 SR-7)

* Der deutsche Buchstabe “ß” wird von Suchen, die die Suchbegriffsliste und die Suchtrefferliste füllen, nicht
mehr genauso wie “ss” behandelt. (seit v15.4 SR-7)

* Ein Fehler wirde in SR-7 behoben, der in v15.4 SR-6 beim Unterdrücken von Duplikaten im Asservat-Überblick auftreten konnte.

* Ein Fehler wurde mit SR-8 behoben, der in v15.4 SR-7 das Aufnehmen von Hash-Werten einiger Dateien in den Datei-Überblick verhinderte.

* Es ist jetzt möglich, Volumes zu öffnen, die als Laufwerksbuchstabe geladen sind, aber nicht mit einem gültigen Dateisystem formatiert sind. (seit v15.4 SR-8)

* Die Rücksetz-Taste auf der Tastatur als schneller Weg zum Navigieren zum Elternobjekt einer Datei funktioniert nun auch in der Galerie. Das ist nützlich zum Beispiel, wenn Sie Video-Standbilder in der Galerie betrachten und das Video, aus dem ein bestimmtes Bild exportiert wurde, ansehen möchten. Erinnern Sie sich auch daran, daß Sie nach Abschluß mit dem Zurück-Schalter in der Symbolleiste bequem zur vorherigen Liste der Standbildern zurückkehren können. (seit v15.4 SR-8)

* Fähigkeit, mehrere Sessions in Images von CDs in einigen Fällen zu finden, in denen zuvor nur die ersten Session gefunden wurde. (seit v15.4 SR-8)

* Ein Ausnahmefehler wurde mit SR-8 behoben, der in v15.4 SR-7 beim Extrahieren von Metadaten ohne Extrahieren des internen Erzeugungsdatum zur selben Zeit auftrat.

* Akzeptiert nun hexadezimale Kleinbuchstaben in Datensatz-Längenfeld in Intel-Hex-Dateien beim Konvertieren nach Binär. (seit v15.4 SR-9)

* Fähigkeit, JPEG- und PNG-Dateien aus Firefox-Container-Dateien namens _CACHE_* zu extrahieren. (seit v15.4 SR-9)

* Es wurden Pfadfehler behoben, die beim Öffnen einer Falldatei über einen Befehlszeilenparameter ohne Pfadangabe entstanden. (seit v15.4 SR-9)

* Es wurde ein Fehler behoben, der in bestimmten Situationen bewirkte, daß X-Ways Forensics keine E-Mails
aus gültigen E-Mail-Archiven extrahieren konnte. Dieser Fall wurde begleitet von der Nachricht “Keine E-Mails gefunden”. (seit v15.4 SR-9)

* Stabiler beim Verarbeiten von defekten (z. B. per Datei-Header-Signatur-Suche gefundenen) AOL PFC E-Mail-Archiven. (seit v15.4 SR-9)

* Verhindert eine Fehlermeldung beim Verwenden des Asservat-Überblicks in mehr als einer Session zur gleichen Zeit. (seit v15.4 SR-10)

* Zeigt die Berechtigungen von Dateien in NTFS-Dateisystemen nun auch im Asservat-Überblick an (Details-Modus). (seit v15.4 SR-10)

* Ein Ausnahmefehler wurde mit SR-10 behoben, der in SR-9 beim Verarbeiten bestimmter E-Mail-Archive auftreten konnte.

* Der Fehler “…is not a valid integer value”, der beim Extrahieren von E-Mails in SR-9 auftreten konnte, wurde
behoben.

* Ein Fehler in der GREP-Suche wurde mit v15.4 SR-10 behoben.

* Ein Ausnahmefehler, der beim Hinzufügen des Inhalts verschlüsselter Archive in den Datei-Überblick auftreten konnte, wurde behoben. (seit v15.4 SR-10)

* Individuelle “File Type Categories.txt”-Dateien für jeden Benutzer einer gemeinsam genutzten Installation von X-Ways Forensics/X-Ways Investigator, so daß die Software sich individuelle Datei-Typ-Filter-Einstellungen für jeden Benutzer merkt. Hängt davon ab, ob auch eine benutzerspezifische .cfg-Dateien verwendet wird oder eine generische WinHex.cfg-Datei für alle. (seit v15.4 SR-11)

* Wenn Sie sich E-Mails anzeigen lassen z. B. mit dem Attr.-filter, und wenn Sie mehrere E-Mails für den Befehl Wiederherstellen/Kopieren auswählen, die Datei-Anhänge als Unterobjekte im Datei-Überblick haben, wurden diese Datei-Anhänge nicht mitkopiert, selbst wenn das Häkchen bei “Unterobjekte gewählter Dateien kopieren” gesetzt war, weil der Filter für E-Mails keine andere Art von Dateien (z. B. Datei-Anhänge
von E-Mails) durchließ. Dies ist wahrscheinlich in den meisten Situationen nicht wünschenswert. Daher wurde das Verhalten so geändert, daß Filter keine Auswirkung mehr auf den Befehl “Wiederherstellen/Kopieren” haben, und auch keinen Effekt mehr auf den Befehl zum Befüllen eines Datei-Containers. Wenn Sie nichts mitkopieren möchte, was Sie nicht sehen und nicht ausgewählt haben, dann stellen Sie einfach über das Kontrollkästchen sicher, daß Unterobjekte gewählter Dateien explizit nicht mitkopiert werden. (seit
v15.4 SR-11)

* Das Problem, daß X-Ways Forensics beim Verwenden der neuen Version 8.3.2 der Viewer-Komponente im Vorschaumodus in Suchtrefferlisten u. U. einfrieren konnte, wurde behoben. (seit v15.4 SR-11)

* Vermeidet Fehlermeldungen darüber, daß die ursprünglichen Zeitstempel von per Signatursuche in FAT-Partitionen gefunden Dateien beim Wiederherstellen/Kopieren nicht auf die Kopien übertragen werden konnten. (seit v15.4 SR-11)

* Es wurde ein Pfad-Erzeugungsfehler behoben, der im Befehl Wiederherstellen/Kopieren in der nicht-forensischen Edition von WinHex unter bestimmten Umständen auftreten konnte. (seit v15.4 SR-11)

* Es wurde ein Fehler behoben, der Unicode-Suchtreffer im Positions-Manager mit einer Beschreibung gespeichert hatte, die um 1 Zeichen verrutscht war. (seit v15.4 SR-11)

* Ein Fehler wurde mit SR-11 behoben, der in bestimmten Situationen innerhalb besonders großer Dateien dazu führen konnte, daß ein Suchtreffer einmal für jeden Suchbegriff aufgelistet wurde statt nur für den/die jeweils passenden. Der Fehler war enthalten in SR-6 bis SR-10.

* Ein Lesefehler in SR-11 wurde behoben, der beim Prüfen von E-Mail-Attachments auf eingebettete Bilder auftrat. (seit v15.4 SR-12)

* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten bestimmter MP3-Dateien auftreten konnte. (seit v15.4 SR-12)

* Ein Fehler wurde behoben, der ein neu angegebenes Ausgabelaufwerk nicht akzeptierte, wenn der Plattenplatz beim Indexieren knapp wurde. (seit v15.4 SR-12)

* Besserer Umgang mit zirkulären Links in gelöschten Verzeichniseinträgen in Ext*-Dateisystemen. (seit v15.4 SR-12)

* Viele kleine Verbesserungen.

Update: meine Folien stelle ich gern auf Anfrage zur Verfügung

Alles in allem eine recht gut recherchierte Sendung zum Thema mit zum Glück überschaubarem Hype-Faktor.

Link zur Mediathek von 3sat

Hier die offizielle Pressemitteilung von KPMG.

Ich habe den Entwurf noch nicht abschließend aus dem Sicht der IT-Forensik und Forensischen Datenanalyse bewertet, aber ich möchte den Entwurf der Leserschaft nicht vorenthalten. Hier isser.

Im Jahr 2008 wurden in der Polizeilichen Kriminalstatistik (PKS) insgesamt 84.550 Fälle von Wirtschaftskriminalität registriert (2007: 87.934). Das bedeutet gegenüber dem Vorjahr einen Rückgang von 3,8 Prozent (3.384 Fälle). Im zweiten Jahr in Folge sind somit die Fallzahlen zurückgegangen. Der Anteil der Wirtschaftskriminalität an den insgesamt polizeilich bekannt gewordenen Straftaten betrug allerdings 2008 wie auch im Jahr 2007 1,4 Prozent.

Im Jahr 2008 wurden insgesamt 35.493 Tatverdächtige registriert (2007: 37.654); 5,7 Prozent weniger als im Vorjahr.

Der durch die Wirtschaftskriminalität verursachte Schaden belief sich 2008 auf 3,43 Milliarden Euro. Verglichen mit dem Vorjahr (4,12 Milliarden Euro) entspricht dies zwar einer Abnahme von 16,7 Prozent, verdeutlicht aber die nach wie vor gravierenden Auswirkungen der Wirtschaftskriminalität.
Zum Vergleich: Der in der PKS registrierte Schaden aller erfassten Delikte beträgt rund 10 Milliarden Euro. Damit hat die Wirtschaftskriminalität einen Anteil von rund 34 Prozent an der Gesamtschadenssumme. Besonders hohe Schäden werden im Bereich der Insolvenzdelikte und der Betrugsdelikte registriert.
Das tatsächliche Schadenspotenzial der Wirtschaftskriminalität wird jedoch erst deutlich, wenn man die nicht quantifizierbaren immateriellen Schäden betrachtet. Wettbewerbsverzerrungen durch Wettbewerbsvorsprünge des mit unlauteren Mitteln arbeitenden Wirtschaftsstraftäters, die gesundheitliche Gefährdung und Schädigung Einzelner als Folge von Verstößen gegen das Lebens- und Arzneimittelgesetz, das Arbeitsschutzrecht oder das Umweltstrafrecht, aber auch mögliche Vertrauensverluste in die Funktionsfähigkeit der bestehenden Wirtschaftsordnung machen beispielhaft deutlich, welches Schadenspotenzial die Wirtschaftskriminalität in sich birgt. Hinzu kommt, dass in diesem Deliktsbereich ein hohes Dunkelfeld vermutet wird, das u. a. auf der mangelnden Anzeigebereitschaft der Geschädigten beruhen dürfte.

Straftaten aus dem Bereich der Wirtschaftskriminalität werden immer häufiger mit Hilfe des Internets begangen. Die Anzahl dieser Fälle ist im Jahr 2008 gegenüber dem Vorjahr um 77 Prozent auf 16.437 gestiegen. Dies bedeutet, dass im Jahr 2008 bei mehr als jedem fünften Fall von Wirtschaftskriminalität das Internet genutzt wurde.

Auch im Bereich der Organisierten Kriminalität (OK) sind Wirtschaftsdelikte von zentraler Bedeutung. Rund 17 Prozent aller 2008 gemeldeten OK-Fälle wiesen Merkmale der Wirtschaftskriminalität auf.

Quelle: BKA

Download der PKS

In einer Art Paneldiskussion mit zwei Mac Forensik Softwareherstellern (Macforensicslab und BlackBag Technologies) und einem Computer Forensik Spezialisten des L.A. County Sheriff’s Department werden die zahlreichen Vorzüge der Mac-Plattform unterstrichen.  Zusätzlich gibt es auch Präsentationen von einigen Mac Forensics Tools (MacLogPick, MacQuisition, MacForensicsLab). Auffällig ist aber, dass am Anfang in einer Art Namedropping die Behörden genannt werden, die ihr Labor bereits standardmäßig mit Apple Hardware betreiben. Neben diesem recht offensichtlichen Anliegen und der obligatorischen Vorstellung der Xserve-Plattform als Laborumgebung in diesem kostenlosen Seminar (there is no such thing as a free lunch ) wird recht kurzweilig die Arbeit in einem Labor erläutert und auch das Thema Forensics Field Triage im Zusammenhang mit Live Response wird ausreichend gewürdigt..

Hier geht es zum Seminar.

Und da ja auch die 4. Auflage meines Buches vor der Tür steht, hier ein Hinweis auf weitere Mac Forensic Tools.

* Stark reduzierter Hauptspeicherbedarf für größere Datei-Überblicke, d. h. Datei-Überblicke von Partitionen mit besonders vielen Dateien, was das Öffnen und Analysieren von Partitionen erlaubt mit vielen mehr Millionen Dateien (rd. 100% mehr) bei gleich viel verfügbarem RAM als früher. Beachten Sie, daß das Format der Datei-Überblicke sich geändert hat, so daß frühere Versionen Datei-Überblicke von v15.4 und später nicht öffnen können!

* Mit den Befehlen “Vor” und “Zurück” im Positionsmenü und den Vor- und Zurück-Schaltern in der Symbolleiste können Sie bequem zurückkehren zu bestimmten Einstellungen des Verzeichnis-Browsers. Dies berücksichtigt erkundeten Pfad,
rekursiv oder nicht rekursiv, Sortierkriterien, Ein-/Aus-Zustand aller Filter, Einstellungen einiger Filter sowie einige Verzeichnis-Browser-Optionen. Die Befehle Vor und Zurück erlauben auch das erneute Aktivieren eines zuvor aktiven Datenfensterns, wenn Sie zwischen einzelnen Fenstern hin- und herwechseln. (nur mit forensischer Lizenz)

* Bestimmte Filter verhalten sich jetzt etwas “intelligenter”, wenn man von einem übergeordneten Objet zu einem Unterobjekt navigiert oder umgekehrt, so daß er sich selbständig abschaltet, wenn das sinnvoll ist. Nur mit forensischer Lizenz. Beispiele:
- Wenn Sie einen Filter verwenden, um rekursiv nur extrahierte E-Mails aufzulisten, und dann eine einzelne E-Mail doppelt anklicken, um im Verzeichnis-Browser einen Blick auf ihre Datei-Anhänge zu werfen, wird der Filter automatisch deaktiviert, so daß Sie diese Datei-Anhänge tatsächlich sehen können. Ein einfacher Klick auf den Zurück-Schalter bringt sie dann wieder zur vorherigen Liste aller E-Mails zurück, aktiviert den Filter
wieder und wählt die doppelt angeklickte E-Mail aus, so daß Sie die Begutachtung aller E-Mails komfortabel mit der nächsten E-Mail in der Liste fortsetzen können!
- Wenn Sie einen Filter verwenden, um sich auf Videos oder Dokumente zu konzentrieren, und dann ein Video oder ein Dokument doppelt anklicken, um die exportierten Einzelbilder des Videos zu sehen bzw. die im Dokument eingebetteten Bilder, dann wird der Filter ebenfalls automatisch abgeschaltet.
- Wenn Sie sich Video-Einzelbilder in der Gallerie als kleine Miniaturansichten ansehen und die Rücksetz-Taste drücken oder den Menübefehl “Übergeordnetes Objekt aufsuchen” aufrufen, um zu dem Video zu navigieren, aus dem das Einzelbild exportiert wurde, z. B. um dieses Video anzuschauen, dann wird der Attributfilter für Video-Einzelbilder deaktiviert, so daß das Video tatsächlich im Verzeichnis-Browser aufgelistet wird. Ein einfacher Klick auf den Zurück-Schalter kehrt zur vorherigen Übersicht der Einzelbilder zurück, aktiviert den Filter wieder und wählt das betreffende Einzelbild erneut aus!
- Dies funktioniert analog mit Datei-Anhängen von E-Mails, wenn Sie gelegentlich für relevante Datei-Anhänge einen Blick auf die enthaltene E-Mail werfen (und diese ausdrucken oder in einen Bericht aufnehmen) möchten.

Diese zwei neuen Features zusammen, intelligente Filter auf der einen Seiten und Vor-/Zurück-Navigation im Verzeichnis-Browser auf der anderen Seite, sollten die Bedienbarkeit der Software weiter stark verbessern.

* Es ist jetzt möglich, Verzeichnisse und Dateien mit Unterobjekten, die im Asservatüberblick aufgelistet sind, von dort aus zu erkunden, indem man sie doppelt anklickt. Dann rückt automatisch das Datenfenster in den Vordergrund, das das Asservat
repräsentiert, das jenes Verzeichnis bzw. jene Datei enthält. Mit dem Zurück-Befehl (zweimal anwenden) kann man bequem zurück zum Asservat-Überblick gelangen, oder man aktiviert das Fenster, das den Asservat-Überblick enthält, einfach selbst wieder, z. B.
durch Klick auf die Registerkarte.

* Es ist jetzt möglich, die Anzahl von Suchtreffern zu ausgewählten Suchbegriffen in der Suchbegriffsliste abzulesen und auch zu kopieren. Diese Zahlen basieren auf den aktuellen Einstellungen für die auf dem Bildschirm aufgelisteten Suchtreffer und hängen ab von Filtern, dem erkundeten Pfad, etwaigen UND-Verknüpfungen von Suchbegriffen usw. (nur mit forensischer Lizenz)

* Man kann nun auch im Index nach mehr als 1 Suchbegriff auf einmal suchen. Es ist außerdem jetzt möglich, die beiden Optionen für die Index-Suche bei einer Index-Suche vom Asservat-Überblick aus zu steuern. (betrifft nur forensische Lizenzen)

* Typischweise können in NTFS-Dateisystemen nun noch mehr gelöschte Dateien bei der intensiven Dateisystem-Datenstruktur-Suche gefunden und im erweiterten Datei-Überblick untergebracht werden als zuvor. Diese gelöschten Dateien können mit Dateiname, Pfad, Zeitstempeln usw. aufgelistet werden. (nur mit forensischer
Lizenz)
* X-Ways Forensics kann nun oft den echten Löschzeitpunkt von ehemals existierenden Dateien in NTFS-Dateisystemen bei der intensiven Dateisystem-Datenstruktur-Suche ermitteln und in der entsprechenden Spalte im Verzeichnis-Browser eintragen. Noch
mehr Löschzeitpunkte können gefunden und eingetragen werden, wenn die Datei $UsnJrnl:$J eingesehen oder im Vorschaumodus betrachtet wird. Dies ist ein einzigartes Feature. Nur mit forensischer Lizenz. Nicht zu verwechseln mit dem sog. Löschdatum,
das Ihnen andere forensische Tools in NTFS-Dateisystemen u. U. anzeigen, für Dateien, die in dem Dateisystem nicht mal gelöscht wurden.

* Option zum Ausschließen ehemals existierender Dateien aus dem Datei-Überblick bei desse Erzeugung. Nützlich, wenn Sie sich für gelöschte Dateien nicht interessieren oder Sie diese gar nicht ansehen dürfen. S. Option des Datei-Überblicks.

* Option zum Ausschließen der je nach Partitionsgröße lang dauernden Suche nach FILE-Records außerhalb der $MFT aus der intensiven Dateisystem-Datenstruktursuche bei NTFS-Dateisystemen.

* Verbesserte StreamMRU-Decodierung für den Registry-Bericht, um Kenntnis von Ordnern auf Wechseldatenträgern zu erlangen.

* Verbesserte Erkennung von Sektorgröße und alternativen Layouts von Apple-Partitionstabellen in Roh-Images von CDs und DVDs.

* Unterstützung von HFS+-Dateisystemen auf optischen Medien oder in Images mit einer Sektorgröße von 2048 Bytes. Betrifft nur forensische Lizenzen.

* Möglichkeit, die Attribute “Temporärdatei” und “nicht zu indexieren” einer Datei auf Ihrem eigenen Datenträger in Datei | Eigenschaften zu setzen oder zu entfernen, über die Buchstaben T bzw. X.

* Weitere der .dir-Dateien, in denen Datei-Überblicke gespeichert sind, .xfi-Index-Dateien sowie Image-Dateien werden nicht mehr von Windows indexiert, wenn die Indexierung eingeschaltet ist, um  Zeit und Plattenplatz zu sparen. Gilt für von v15.4 erzeugte Dateien.

* Das Wechseln zwischen dezimalen und hexadezimalen Offsets durch Klicken in der Offset-Spalte funktionierte in bestimmten Situation in v15.2 und v15.3 nicht mehr. Das wurde behoben.

* Eine Endlosschleife tritt nun nicht mehr auf, die beim Erzeugen eines Index zum Einfrieren führen konnte, wenn das Schreiben von Index-Dateien auf ein entferntes Netzlaufwerk fehlschlug.

* Wenn während des Speicherns eines Falls unter einem anderen Namen/an einem anderen Ort das Auto-Save-Intervall ablief, bracht dies die “Speichern unter”-Operation mit Fehlermeldungen ab. Dies wurde verhindert.

* Wenn dieselbe Datei zum selben Datei-Conainer erneut hinzu- gefügt wird und wenn von der ersten Version der Datei im Container nur Metadaten übertragen wurden (also kein Datei-Inhalt), weil sie nur indirekt mit kopiert wurde, um den Pfad von einem ihrer Unterobjekte im Container korrekt zu replizieren, und wenn dieselbe Datei dann beim zweiten Mal explizit mit Inhalt kopiert wird, dann ersetzt die neue Version mit Inhalt
nun seit v15.3 SR-1 die alte Version ohne Inhalt. Zurvor wäre die Datei nicht erneut kopiert worden.

* Wenn mehrere Suchbegriffe in der ursprünglichen Version 15.3 in der Parallelen Suche bei eingeschalteter GREP-Syntax verwendet wurden, wurde tatsächlich nur der erste Begriff gesucht. Dies wurde mit v15.3 SR-1 behoben.

* Als Teil des Registry-Berichts werden nun weitere Informationen über Benutzerkonten aus dem SAM-Registry-Hive extrahiert. (seit v15.3 SR-1)

* Der Script-Befehl “Convert” unterstützt nun die Parameter “hiberfil Binary” zur automatisierten Dekompression von hiberfil.sys. (seit v15.3 SR-1)

* Verläßlichere Erkennung von Dateisystemen in Partitionen, die von konventionellen Apple-Partitionstabellen definiert sind. (seit v15.3 SR-1)

* Mehr Informationen im Nachrichtenfenster beim Erweitern des Datei-Überblicks in mehreren Asservaten auf einmal darüber, welches Asservat gerade bearbeitet wird. (seit v15.3 SR-2)

* Eine alltägliche Situation beim Erweitern des Datei-Überblicks ist, daß Dateien in per Header-Signatur-Suche gefundenen Zip-Archiven nicht geöffnet werden können, weil die Zip-Archive unvollständig oder beschädigt sind. In diesem Fall wird die Anzahl der Fehlermeldungen, die im Nachrichtenfenster ausgegeben werden, mittlerweile beträchtlich reduziert, die betroffenen Dateien werden in der Attributspalte mit “Dateiinhalt unbekannt” gekennzeichnet und es werden keine weiteren Versuche unternommen, solche Dateien zu öffnen. Dies sollte das Erweitern des Datei-
Überblicks beschleunigen und die allgemeine Stabilität verbessern. (seit v15.3 SR-2)

* Das NTFS-Attribut für “nicht zu indexieren” wird nun in der Attributspalte als “X” ausgegeben. (seit v15.3 SR-2)
* Mehr Informationen über $UsnJrnl:$J im Vorschau-Modus. (seit v15.3 SR-2)

* Der Registry-Bericht extrahiert nun Festplatten-Signaturen und Partitionsstartsektoren aus “MountedDevices”-Einträgen. (seit v15.3 SR-2)

* Ein scheinbarer Verlust von Suchtreffern konnte in bestimmten Situationen auftreten. Dies hatte mit der neuen Speicherart für Suchtreffer in v15.3 zu tun und wird seit SR-3 verhindert. Suchtreffer, die aufgrund dieses Fehlers scheinbar verlorengingen,

werden von v15.3 SR-3 und später automatisch wiederhergestellt, sofern keine neuen Suchläufe im selben Asservat angestoßen wurden
* Suchtreffer in der decodierten Version von PDF/HTML/…-Dateien konnten u. U. in v15.3 vor SR-3 mit falschem Inhalt dargestellt werden, abhängig vom Sortierkriterium. Dies wurde mit v15-3 SR-3 behoben.

* Das Öffnen von großen NTFS-Partitionen (nicht das Erstellen des Datei-Überblicks, sondern das bloße Öffnen und jedes Öffnen) ist nun deutlich schneller. (seit v15.3 SR-3)

* Die Bezeichnungen der Registerkarten von Fenstern, die interpretierte Images oder Partitionen in Images repräsentieren, sind nun kürzer, so daß mehr Registerkarten auf den Bildschirm passen. Die Partitionsnummern werden zudem in den Registerkarten nicht herausgekürzt, auch wenn der Name des Images lang ist. (seit v15.3 SR-3)

* Die Anzeige der RAID-Komponente und der relativen Sektornummer in intern rekonstruierten RAIDs in der Informationsspalte wurde korrigiert für RAID Level 0. Sie funktionierte bisher nur für RAID Level 5. (seit v15.3 SR-3)

* Der Fall wird nun wieder sofort nach dem Abschluß oder dem Abbruch einer Suche gespeichert, so daß Suchtreffer nicht verlorengehen, sollte das Programm vor dem nächsten regulären Speichern des Falls abstürzen. (seit v15.3 SR-4)

* Möglichkeit, Dateien mit Wiederherstellen/Kopieren incl. Pfad zu kopieren, wenn Teil des Pfades ein Verzeichnis ist, dessen Name lediglich aus einem Punkt besteht. Nützlich für Dateien, die assoziiert sind mit Spuren von alten NTFS-Stammverzeichnissen.Allein nur der Punkt ist für Windows ein unzulässiger Name; daher wird “.” beim Herauskopieren umbenannt in “_”. (seit v15.3 SR-4)

* Verhindert, daß unser Firmenname als Ersatz für eine fehlende ursprüngliche “X-Mailer”-Zeile in E-Mails eingefügt wird, die aus Outlook-Ordnern “Gesendete Objekte” extrahiert werden. (seit v15.3 SR-4)

* Daß der Fallbericht nach seiner Erzeugung nicht geöffnet werden konnte, wenn der vom Benutzer angegebene Dateiname keine .html-Endung hatte, wurde behoben. (seit v15.3 SR-4)

• Forensic Video Report
• Forensic Media Report
• Forensic VCR Report
• ICQ Chat Messages Report
• Firefox 3 History Report
• Whois Report

Während es zum Firefox und Whois Reporter nix zu sagen gibt (tut genau, was es soll und wie andere Freeware-Tools auch), sind die anderen drei Werkzeuge eine nähere Betrachtung wert. Wer sich einmal Stunde um Stunde mit der Sichtung von Videobändern beschäftigen musste (oder den Unglücksraben aus dem Team dabei beobachtet hat ) weiß, dass es auch effektiver gehen muss. Der Entwickler der Software schreibt zu seinem Tool Forensic VCR Report:

“Bei der Forensischen Auswertung von analogen Videobändern stößt man als Auswerter oft schnell an die Leistungsgrenzen. Sämtliche Videobänder, ob nun VHS, Hi8 oder DV müssen erst langwierig gesichtet werden, um möglicherweise kompromittierendes Material, welches durchaus in einem “normalen” Video versteckt sein könnte zu finden. Um die Zeiten für die Sichtung eines solchen Videofilmes zu verkürzen wurde Forensic VCR Report entwickelt. Forensic VCR Report generiert Einzelbilder aus einem abspielenden Videofilm und schneidet diese von handelsüblichen TV-Karten oder Video Schnittkarten mit. Dabei ist es nicht mehr notwendig das Video in Realzeit zu sichten, sondern nachdem die Videofilm “Preview” vollständig ist, einfach noch die Snapshoots einzusehen.
Da Forensic VCR Report Voreinstellungen bezüglich der Videolänge und der Snapshoot Zeit zulässt, kann auch ein automatisierter Mitschnitt, zum Beispiel über Nacht realisiert werden.
Desweiteren ist Forensic VCR Report in der Lage mehrfach gestartet zu werden, um somit auch mit mehr als einem Video Gerät, also zum Beispiel mit 2 TV Karten zu arbeiten.”

Hat man die Filme bereits digital vorliegen, kann man Eyewitness Video Report nehmen. Auch hier werden aus dem Bildern evidente Frames als Bild extrahiert und in einer Timeline als Report ausgegeben. Diese Funktionalität gibt es dort zusätzlich übrigens auch als Addon für X-Ways Forensics.

Alle Tools laufen unter Windows. Mehr zu Eyewitness Forensic Software findet sich unter www.tatortgruppe.de

Eher durch Zufall bin ich über eine Trainingsession von Guidance (EnCast) gestoßen, die sich mit dem Auffinden von Facebook-Chat Spuren mit EnCase beschäftigt. Nach meiner Beobachtung trifft man zunehmend auf solche oder ähnliche Fragestellungen. Der im Video gezeigte Ansatz macht aber auch deutlich, dass wir in diesem Bereich noch am Anfang stehen, auf komfortable Analysemöglichkeiten zugreifen zu können. Nun zum Guidance-Ansatz: Das EnScript Facebook Chat Parser enthält eine Library zum Interpretieren des JSON (JavaScript Object Notification) Formats. Damit lassen sich dann die Strukturen nach Artefakten aus einem Facebook-Chat durchsuchen. Die Anwendung des EnScripts erfolgt wie gewohnt, im Browser-Temp Verzeichnis die entsprechenden Dateien auswählen und dann den Facebook Chat Parser starten. Das Ergebnis (mit hoffentlichen wenigen Duplicates ) lässt sich dann in Excel darstellen. Der Facebook Chat Parser steht im EnCase Support Portal zum Download bereit.

Direktlink EnCast Facebook Artifacts

Da das Remote-Wiping nicht ganz vollständig arbeitet, kann man trotzdem auf Daten zugreifen.  Das System einfach in den Recovery-Mode versetzen und eine neue Firmware aufspielen. Das Dateisystem wird dann zwar zerstört, aber alles was bis dahin noch da ist, lässt sich recovern. Will man das Gerät partout nicht remote wipen lassen, kann man es in den Flugmodus versetzen

Hier ist noch ein älteres Recording aus dem dem Jahre 2008, welches sich mit älteren Versionen des iPhone beschäftigt.  iPhone Forensics Demonstration, 2008 . Damals ging es sowohl um die Umgehung des Passcodes als auch um die Wiederherstellung von vermeintlich gelöschten Datenspuren.

Eine Zusammenfassung diverser forensischer Methoden für iPhones findet sich hier.