Rechtsanwalt Henrik Becker Monday, September 6, 2010
Impressum

 

Tools für Computer Forensik

dd

dd ist ein Tool, das bei praktisch allen unixoiden Systemen vorhanden ist. Mit dd können exakte Kopien kompletter Laufwerke (hier: physikale Einheit) erstellt werden. Als einziges Tool hat dd auch alle Tests der US-Regierung im Rahmen des Computer Forensic Tool Testing Programm bestanden.

dd kopiert hier bitweise in ein sog. Image. Dieses Image kann dann später für die Analyse genutzt werden.

Als kleines Beispiel soll folgender Ablauf (hier zusammen mit md5 zur Erstellung eines Hashes) dienen: 

md5sum /dev/hdb > Beweis-hash-Mandant-Fall-Nummer.txt
dd if=/dev/hda of=/mnt/sda1/Mandant/Fall-Nummer.dd 
md5sum /dev/hda >> Beweis-hash-Mandant-Fall-Nummer.txt
md5sum /mnt/sda1/cases/Mandant/Fall-Nummer.dd >> hash.txt

DeMasker

DeMasker durchsucht Laufwerke nach versteckten Dateiformaten. Versteckt meint hier nicht den Einsatz des "HIDDEN"-Attributes, sondern das Umbenennen der Datei mittels Änderungn der Dateiendung oder sonst durch Alternierung. Ebenfalls als "Verstecken" ist das Verschieben der Datei in einen unlogischen Systemordner zu werten. DeMasker scannt, die Platten oder einzelne Verzeichnisse und zeigt sämtliche Dateien an, die diesem Schema entsprechen.

nwdiff

Nwdiff vergleicht zwei Dateien bitgenau miteinander. Siehe dazu auch den Blogeintrag von Andreas Schuster.

nmap

nmap steht für Network Mapper und ist ein ursprünglich für das Betriebssystem Linux entwickeltes Werkzeug zum Scannen und Auswerten von Hosts und fällt somit in die Kategorie der Portscanner. In erster Linie wird Nmap für Portscanning (d.h. Untersuchen der Ports eines Hosts) eingesetzt. Das Tool wurde ständig erweitert und konnte sich vor allem durch die aktiven Techniken für OS-Fingerprinting (das Erkennen des eingesetzten Betriebssystems auf dem Zielhost) einen Namen machen. Auch das Mapping von Umgebungen (Erkennen aktiver Hosts) ist möglich. Nmap ist sowohl bei Angreifern als auch bei Administratoren sehr beliebt, da es sehr effizient und zuverlässig arbeitet. Es ist ein wichtiger Bestandteil bei der Netzwerkdiagnose und Auswertung von netzwerkfähigen Systemen. Unter anderem wird es auch vom Vulnerability Scanner Nessus zur Erfassung offener Ports eingesetzt. (Quelle: wikipedia)

© 1994 - 2005 Henrik Becker, RA Henrik Becker

::: Print-Version  :::

 

Forensik Blog

HenrikBecker.de

Dig.Forensik

Grundlagen

Risiken

Erstreaktion Computer und Server

Erstreaktion andere Hardware

Beweiserlangung und Mitbestimmung

Daten sicher loeschen

Forensik Tools

Forensik Toolkits

Sonstige Tools

Datenschutz

Wirtschaftskriminalitaet

Spionage

Referententaetigkeit

Security

Text

J-Pilot

Scripting

Links

Privates Blog



My status

Powered by Linux

Made with Emacs

Powered by PHP

Powered by Apache

If you like this fine website you may want to say Thank you! or Good job! Thank you!