Bekannte Programme wie EnCase und das Forensic Toolkit können Dokumente untersuchen, die nach den Konventionen des OLE Structured Storage aufgebaut sind. Für den schnellen Blick in ein interessantes Dokument sind diese Programme aber dann doch eine Nummer zu groß. Darum stelle ich in diesem Artikel zwei kleine Spezialisten vor.
eTree Inc. scheint ein gemütliches Überbleibsel der .COM-Epoche zu sein. Als Freeware gibt es dort eDoc, mit dessen Hilfe sich OLE Dokumente untersuchen lassen. Für den Forensiker nicht so wichtig, wenn nicht gar unerwünscht, sind Funktionen zum Erstellen und Verändern von Dokumenten. Insgesamt ein spezialisiertes, leistungsfähiges Programm mit ausreichend Dokumentation.
Michal Mutl ist Forensikern vielleicht durch seinen Registry Analyzer bekannt, den er mittlerweile an Paraben verkauft hat. Neu in seinem (kostenlosen) Angebot ist der Structured Storage Viewer. Das Programm erlaubt es lediglich Bestandteile des Structured Storage zu speichern; eine versehentliche Veränderung ist also ausgeschlossen. Leider ist die Benutzeroberfläche noch etwas hakelig. Manchmal will sich der Dialog zum Speichern einfach nicht öffnen lassen. Einen Blick Wert ist das Programm aber allemal.
Update 3.1.2006: In der Version 2.0 ist das Problem beim Speichern behoben.
