CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.
Das US NIST hat Hard- und Software zum Löschen von Festplatten getestet. Verwendet werden diese Löschwerkzeuge zum Beispiel dann, wenn ein während der Fallbearbeitung genutzter Datenträger nicht mehr länger benötigt wird. Das sichere Löschen der Daten soll einerseits verhindern, dass schutzwürdige Informationen unbeabsichtigt verbreitet werden.
Ausserdem müssen Daten, die zu unterschiedlichen Fällen gehören, sauber getrennt werden. Dies ist einfach zu erreichen, indem man für jeden Fall einen eigenen, "sterilen", Datenträger verwendet.
Der 010 Editor, ein Hex-Editor ist für mich zu einem unverzichtbaren Werkzeug für der Untersuchung von Dateien geworden. Jetzt haben die Autoren die Version 3.1 veröffentlicht, die eine Vielzahl neuer Funktionen enthält.
AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.
Tableau hat mit dem T9 nun auch einen Writeblocker für Geräte mit FireWire-Interface im Angebot. Damit sollen sich portable Festplatten und Apple Macs im Target Disk Mode sichern lassen. Von der Bauform und Bedienung her scheint der T9 weitgehend dem bekannten T8 zu entsprechen, über den sich USB-Geräte schreibgeschützt ansprechen lassen.
Error in "Header": String cannot be longer than 12 charactersgehört damit endlich der Vergangenheit an. Der FTK Imager ist beim AccessData Support zum Download verfügbar.
