FTK 2.0 - Die Installation

| 2 Kommentare

Gerade noch rechtzeitig vor den Ostertagen erreichte mich die neue Version des Forensic Toolkits von AccessData. Natürlich musste ich es direkt ausprobieren. In diesem Beitrag beschreibe ich meine Erfahrungen bei einer ersten Testinstallation.

Das Upgrade hat mich in einem recht schmucklosen Karton erreicht. Er enthält den neuen Dongle und eine Box mit zwei DVDs. Die eine DVD enthält die neue FTK-Version 2.0. Auf der anderen befindet sich die ältere Version 1.72. Sie verwendet ebenfalls den neuen Dongle, soll aber auch noch die mit der Version 1.71 erstellten Fälle öffnen können. Damit möchte AccessData eine sanfte Migration ermöglichen.

Die Box enthält auch einige Merkzettel. Kurz und bündig werden hier die einzelnen Optionen der Installation und die jeweiligen Systemanforderungen beschrieben. Das eigentliche Handbuch gibt es nur noch als PDF auf der DVD.

Zu den zahlreichen Neuerungen von FTK 2.0 zählt, dass es nun auf einer Oracle 10g Datenbank aufsetzt. Die Datenbank befindet sich im Lieferumfang; eine separate Lizenz muss nicht erworben werden. Die Datenbank kann auf der Workstation oder einem dedizierten Datenbank-Server installiert werden. Nach Aussage des Herstellers kann FTK auch eine bereits bestehende Oracle-Installation nutzen.

Start der Installation


Ich entschließe mich, FTK 2.0 und die Datenbank auf der selben Maschine zu installieren. Die Workstation enthält einen Intel Core2Quad @2.4 GHz, leider aber nur 2 GiB RAM. Damit verfügt sie gerade einmal über den in dieser Konfiguration minimal erforderlichen Speicherausbau; der Hersteller empfiehlt 4 GiB. Aussagekräftige Benchmarks werde ich mit dieser Konfiguration also nicht erhalten können.

Bei der (benutzerdefinierten) Installation stehen drei Komponenten zur Auswahl:

  • das eigentliche FTK 2.0
  • die Oracle 10g Software
  • Hashsets für den Known File Filter (KFF)

Ich entscheide mich für die Installation aller Komponenten. Das FTK installiere ich auf die Systemplatte. Für die Datenbank verwende ich eine eigene Platte. Leider finde ich keine Option, um für die Oracle-Software und die Daten unterschiedliche Laufwerke festzulegen. Ich wähle deshalb eine möglichst große Festplatte (750 GB). Schließlich liest die Installationsroutine auch die Hash-Bibliothek der KFF in die Datenbank ein. Damit sind nach der Installation etwa 4 GiB auf dem Datenbank-Volume belegt.

Einlesen der Hash-Bibliothek für den Known File Filter


Nach der Installation ist ein Neustart des Betriebssystems notwendig.

Übrigens waren die Dateien erstaunlich stark fragmentiert. Ich empfehle deshalb, nach der Installation das Volume zu defragmentieren.

Lizenz-Transfer

Das neue FTK verwendet als Kopierschutz einen CodeMeter USB-Dongle von Wibu Systems. Der alte, grüne Dongle funktioniert nicht. Deshalb müssen Sie nun noch Ihre Lizenzen von einem Dongle auf den nächsten übertragen. Die einzelnen Schritte sind auf einem der beigelegten Merkblätter ausreichend beschrieben.

Für den Lizenz-Transfer wird ein Internetzugang vorausgesetzt. Zunächst starten Sie den Lizenz-Manager und lesen den alten Dongle ein. Dann löschen Sie die gewünschten Lizenzen auf dem alten (grünen) Dongle. Eine Webseite wird Ihnen die Rückgabe der Lizenzen bestätigen.

Melden Sie den alten Dongle ab und schließen Sie dann den neuen Dongle an. Aktualisieren Sie die Ansicht des Dongles im Lizenz-Manager. Wenn der Dongle erkannt wurde, können Sie Lizenzen hinzufügen. Hierbei erscheint eine Webseite mit den verfügbaren Lizenzen. Die Übertragung der Lizenzen ist sicherlich der heikelste Schritt des Upgrades. Er verlief bei mir aber absolut reibungslos.

Erster Start

Eigentlich sollte nun alles für den ersten Start vorbereitet sein. Ist es aber nicht, wie eine entsprechende Fehlermeldung schnell zeigte. Ich musste noch den Dienst "Access Data - Database Monitor" von Hand starten. Doch dann startete FTK und forderte zur Einrichtung des ersten Benutzerkontos auf.

Das erste Benutzerkonto

Im Anschluss daran können Sie auch Ihren ersten Fall erstellen. Aber das beschreibe ich in einem anderen Beitrag. Bis dahin vertröste ich Sie mit dem Startlogo des Forensic Toolkit 2.0:

AccessData FTK 2.0 ist bereit

2 Kommentare

Die Kaffeetasse wird man bei 2 GB RAM wohl häufiger benutzen dürfen :-)

Hallo Andreas !
Ich bin Beta-Tester von Access FTK 2.1 unter Vista64.
Leider lässt sich die Oracle Datenbank einfach nicht installieren.
Bist du auch Beta-Tester ?

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.