Forensik
Inhalt
- Unix Freeware-Tools zur forensischen Analyse
- Windows Freeware-Tools zur forensischen Analyse
- Foren und Diskussion
- Links
Unix Freeware-Tools zur forensischen Analyse
-
Chkrootkit
http://www.chkrootkit.org/
Ein Tool welches das System auf die Existenz von (bekannten) Rootkits überprüft. -
The Coroner’s Toolkit (TCT)
http://www.porcupine.org/forensics/tct.html
Werkzeuge zum Wiederherstellen von gelöschten Dateien, zur Anzeige von modify, access und change-Zeiten und Werkzeuge zur Anzeige von Inode-Informationen und Speicherung des Prozessspeicher. -
TCTUTILs
http://www.cerias.purdue.edu/homes/carrier/forensics/
Sammlung von Werkzeugen die dem Coroner’s Toolkit (TCT) weitere Funktionalität liefert. -
Penguin Sleuth
http://penguinsleuth.org/
Linux-Distribution (basierend auf Gentoo) mit einem ganzen Bündel an Werkzeugen zur Erstellung einer boot-fähigen CD.
Der Ansatz, ein vollständiges ISO-Image mit einem ganzen Spektrum an Werkzeugen anzubieten, erleichtert die Forensik sehr, da ein Festplattenabzug eines kompromittierten Systems ohnehin von einem vertrauenswürdigen Betriebssystem aus untersucht werden muss. Die Version 6 enthält auch Windows-basierte Forensikwerkzeuge. -
DEFT
http://www.deftlinux.net/
Linux-Distribution (ISO-Image) basierend auf Lubuntu mit einem Katalog von Werkzeugen zur Erstellung einer boot-fähigen CD.
Windows Freeware-Tools zur forensischen Analyse
-
Sysinternals PsTools
https://www.microsoft.com/technet/sysinternals/FileAndDisk/PsTools.mspx
Die Sysinternals pstools umfassen Tools wie pslist ((remote) Prozessauflistung), pskill ((remote) Prozesse beenden), … -
Sysinternals Handle
https://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Handle.mspx
Listet die Prozesse und File-Handles -
Sysinternals ListDLLs
https://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ListDlls.mspx
Listet die zu laufenden Prozessen geladenen DLLs -
GNU utilities for Win32
http://sourceforge.net/projects/unxutils/
Win32 Portierung diverser GNU-Utilities wie grep, dd, diff, find
Beachten Sie bitte, dass Sie ebenfallsUnxUpdates.zip(latest updates) verwenden, da beispielsweise diedd.exein der ursprünglichen Version einen Fehler aufgewiesen hat (der in den latest updates behoben wurde). -
LADS
http://www.heysoft.de/nt/dntfs-ads.htm
Ein Werkzeug um alternative Datenströme im NTFS-Dateisystem ausfindig zu machen.
Foren und Diskussion
Links zu Foren und Diskussionsgruppen zum Thema Forensik
- Forensic Focus
- Anti-Forensics
- Securityfocus Forensics (Mailingliste)
Links
Interessante Seiten zum Thema IT-Forensik
- Internationale Konferenzreihe “IT Incident Response Management and IT-Forensics” (IMF), mitveranstaltet durch das RUS-CERT
- Forensic-Geeks e.V.
- Computer Forensics, Cybercrime and Steganography Resources