Öffentliche Beta von MacForensicsLab

SubRosaSoft stellt eine Beta-Version der neuen Analyse-Suite MacForensicsLab kostenlos zum Test bereit. Eine Registrierung beim Hersteller ist jedoch erforderlich. Download und weitere Informationen gibt es auf der Website des Produktes.

Einen Mac gibt es in meinem Labor nicht, weder als Arbeitsstation noch als Untersuchungsgegenstand. Auf einen Test der Software MacForensicsLab von SubRosaSoft verzichte ich deshalb, eine Randnotiz ist es aber allemal wert. Falls ein Leser die Software getestet hat, werde ich gerne darauf verlinken oder den Bericht hier aufnehmen.

Die Beschreibung der Software auf der Website ist recht ausführlich. Gemäß dieser Beschreibung werden bei der Datensicherung defekte Medien (CDs, Festplatten) besonders aufwändig behandelt. So lassen sich defekte Sektoren nach einem Neustart des Laufwerks gezielt anfahren und bei einem erfolgreichen Lesezugriff doch noch in das Abbild integrieren. Der Hersteller scheint bereits mit anderen Produkten Erfahrungen in der Datenrettung gesammelt zu haben. Die Integrität des Abbilds wird wie üblich mit einem Hash gesichert. Neben MD5 verwendet MacForensicsLab auch SHA-1 und SHA-256.

Im nächsten Schritt erstellt die Software einen Katalog von Dateien nebst Metadaten. Hier soll auch die Berechnung individueller Hashes und ein Abgleich mit der Hash-Datenbank NSRL des NIST möglich sein.

Die Software soll es einzeln oder gebündelt mit einem Hardware-Writeblocker geben. Bei diesem Gerät handelt es sich um eine ATA/SATA-nach-FireWire Bridge, die durch ihre Beschaltung jegliche Schreibzugriffe auf das untersuchte Medium und damit eine Zerstörung der Spuren verhindern soll.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12