Forensik

Inhalt

• Unix Freeware-Tools zur forensischen Analyse
• Windows Freeware-Tools zur forensischen Analyse
• Foren und Diskussion
• Links

Unix Freeware-Tools zur forensischen Analyse

• Chkrootkit
  http://www.chkrootkit.org/
  Ein Tool welches das System auf die Existenz von (bekannten) Rootkits überprüft.
• The Coroner’s Toolkit (TCT)
  http://www.porcupine.org/forensics/tct.html
  Werkzeuge zum Wiederherstellen von gelöschten Dateien, zur Anzeige von modify, access und change-Zeiten und Werkzeuge zur Anzeige von Inode-Informationen und Speicherung des Prozessspeicher.
• TCTUTILs
  http://www.cerias.purdue.edu/homes/carrier/forensics/
  Sammlung von Werkzeugen die dem Coroner’s Toolkit (TCT) weitere Funktionalität liefert.
• Penguin Sleuth
  http://penguinsleuth.org/
  Linux-Distribution (basierend auf Gentoo) mit einem ganzen Bündel an Werkzeugen zur Erstellung einer boot-fähigen CD.
  Der Ansatz, ein vollständiges ISO-Image mit einem ganzen Spektrum an Werkzeugen anzubieten, erleichtert die Forensik sehr, da ein Festplattenabzug eines kompromittierten Systems ohnehin von einem vertrauenswürdigen Betriebssystem aus untersucht werden muss. Die Version 6 enthält auch Windows-basierte Forensikwerkzeuge.
• DEFT
  http://www.deftlinux.net/
  Linux-Distribution (ISO-Image) basierend auf Lubuntu mit einem Katalog von Werkzeugen zur Erstellung einer boot-fähigen CD.

Windows Freeware-Tools zur forensischen Analyse

• Sysinternals PsTools
  https://www.microsoft.com/technet/sysinternals/FileAndDisk/PsTools.mspx
  Die Sysinternals pstools umfassen Tools wie pslist ((remote) Prozessauflistung), pskill ((remote) Prozesse beenden), …
• Sysinternals Handle
  https://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Handle.mspx
  Listet die Prozesse und File-Handles
• Sysinternals ListDLLs
  https://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ListDlls.mspx
  Listet die zu laufenden Prozessen geladenen DLLs
• GNU utilities for Win32
  http://sourceforge.net/projects/unxutils/
  Win32 Portierung diverser GNU-Utilities wie grep, dd, diff, find
  Beachten Sie bitte, dass Sie ebenfalls UnxUpdates.zip (latest updates) verwenden, da beispielsweise die dd.exe in der ursprünglichen Version einen Fehler aufgewiesen hat (der in den latest updates behoben wurde).
• LADS
  http://www.heysoft.de/nt/dntfs-ads.htm
  Ein Werkzeug um alternative Datenströme im NTFS-Dateisystem ausfindig zu machen.

Foren und Diskussion

Links zu Foren und Diskussionsgruppen zum Thema Forensik

• Forensic Focus
• Anti-Forensics
• Securityfocus Forensics (Mailingliste)

Links

Interessante Seiten zum Thema IT-Forensik

• Internationale Konferenzreihe “IT Incident Response Management and IT-Forensics” (IMF), mitveranstaltet durch das RUS-CERT
• Forensic-Geeks e.V.
• Computer Forensics, Cybercrime and Steganography Resources