Komprimierte Outlook PST-Dateien mit EnCase betrachten

Mit EnCase lassen sich auch komprimierte Outlook-Postfächer (PST-Daten) betrachten, wenn man nur die richtigen Einstellungen vornimmt. Wie es geht, beschreibt die University of Delaware Police.

Microsoft Outlook speichert E-Mails,Notizen, Kontakte und Termine lokal in so genannten Persönlichen Ordnern. Im Original heißen diese Dateien Personal Storage, daher die Dateiendung PST.

Outlook bietet bei der Erstellung einer PST-Datei mehrere Optionen an. Meistens werden die Dateien in einem komprimierbaren Format erzeugt. Das ist ratsam, denn durch das häufige Erstellen und Löschen von Objekten wächst der Umfang der Dateien sonst sehr schnell an und bei 2 GiB ist Schluß - selbst wenn die Datei auf einem NTFS-Volume abgelegt ist.

Eine Auswirkung der komprimierbaren Verschlüsselung ist aber auch, dass sich Texte innerhalb einer PST-Datei nicht mehr lesen lassen. EnCase 5 definiert für diesen Fall eine spezielle Codepage, die die Texte wieder lesbar macht. Der eigentliche Trick besteht nun darin, auch einen Text Style für diese Codepage anzulegen und diesen dann auf Suchergebnisse innerhalb einer PST-Datei anzuwenden.

Die University of Delaware Police beschreibt in einer reich bilderten Anleitung alle hierzu in EnCase notwendigen Einstellungen. Ich konnte damit alle Schritte schnell und einfach nachvollziehen. Allerdings musste ich feststellen, dass in meiner EnCase-Version (5.04) die Codepage nicht wie beschrieben die Nummer 48, sondern die Nummer 30 hat. Man sucht also besser nicht über die Nummer, sondern die Bezeichnung "Outlook Compressible Encryption".

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12