Rubrik "Labor"

Wie ich gesehen habe, gibt es den FTK Imager von Access Data bereits in der Version 2.4. Der Imager erstellt forensische Kopien von Datenträgern in mehreren gebräuchlichen Zielformaten.

SubRosaSoft stellt eine Beta-Version der neuen Analyse-Suite MacForensicsLab kostenlos zum Test bereit. Eine Registrierung beim Hersteller ist jedoch erforderlich. Download und weitere Informationen gibt es auf der Website des Produktes.

Am 13. Februar wurden mit Scalpel v1.54 und Foremost v.1.1 zwei Carver veröffentlicht. Was läge da näher, als beide Programme gegeneinander antreten zu lassen?

Mit EnCase lassen sich auch komprimierte Outlook-Postfächer (PST-Daten) betrachten, wenn man nur die richtigen Einstellungen vornimmt. Wie es geht, beschreibt die University of Delaware Police.

Ein Registry-Betrachter und ein Hexeditor genügen, um die Mitglieder einer Benutzergruppe in Microsoft Windows auch post-mortem aufzulisten.

In einem Online-Seminar gibt Michael Gurzi Hinweise zum Aufbau eines IT-Forensik Labors. Er demonstriert dabei ausführlich die Installation des Network Authentication Servers für die Analysesoftware EnCase.

Nwdiff vergleicht zwei Dateien miteinander. Das kostenlose Tool ermöglicht durch seine besondere Darstellung, die Unterschiede schnell bis ins letzte Bit zu erfassen und sich gleichzeitig einen Einblick in den Dateiaufbau zu verschaffen.

Die erste Version des MiTeC OLE StructuredStorage Viewer hatte ich bereits kurz vorgestellt. Programmautor Michal Mutl hat jetzt die Version 2.0 freigegeben, die einige Fehler beseitigt.

Michele Larese hat für WinHex Templates erstellt, die UFS1 und UFS2 Strukturen parsen. Verarbeitet werden Superblock, Cylinder Group Descriptor und Inode. Es gibt jeweils Versionen für little-endian und big-endian Darstellung.
Alle Templates sind auf der Webseite des Herstellers verlinkt.

Access Data hat den FTK Imager in der neuen Version 2.3 freigegeben. Der Imager erstellt forensisch sichere Abbilder von Datenträgern in einer Reihe von gebräuchlichen Zielformaten.