Nieuws

Forensische gereedschapkist voor Windows

woensdag 6 september 2006, 10:34 door Redactie, 6 reacties

The Sleuth Kit is een bekende 'gereedschapskist voor forensisch onderzoek en bestaat uit verschillende forensische analyse tools. Met de tools kunnen verwijderde ASCII en Unicode bestandsnamen getoond worden, kan er uitgebreid op het systeem gezocht worden en is het mogelijk om 'file hashes' in een hash database te zoeken.

De software werkte al op Linux, Mac OS X, Open & FreeBSD, Solaris en CYGWIN. De nieuwste versie bevat ook Windows binaries, zodat gebruikers die niet meer handmatig hoeven te compileren. Meer informatie over The Sleuth Kit (1,6MB) is op deze pagina te vinden. (ISC)

C64 bemoeilijkt onderzoek Oostenrijkse ontvoerder

Stickers voor het beveiligen van WiFi-netwerken

Reacties (6)

06-09-2006, 10:50 door egeltje

Dus als ik het goed snap, installeer je deze tools en kun je gaan
grasduinen...

Regel 1 van forensisch onderzoek is toch dat je het te onderzoeken
bestandsysteem niet aanraakt? Je trekt een kopie en gaat daar read-only
in grasduinen. Leve de live Linux CD's zoals FCCU (http://www.d-
fence.be/), FIRE (http://fire.dmzs.com/), INSERT (http://www.inside-
security.de/insert_en.html) of BOSS (http://www.bsi.de/produkte/boss/).
Voor een completer lijstje, kijk hier eens:
http://www.forinsect.de/security/bootcds.html

06-09-2006, 11:20 door Anoniem

Door egeltje
Dus als ik het goed snap, installeer je deze tools en kun je gaan
grasduinen...

Regel 1 van forensisch onderzoek is toch dat je het te onderzoeken
bestandsysteem niet aanraakt? Je trekt een kopie en gaat daar read-only
in grasduinen. Leve de live Linux CD's zoals FCCU (http://www.d-
fence.be/), FIRE (http://fire.dmzs.com/), INSERT (http://www.inside-
security.de/insert_en.html) of BOSS (http://www.bsi.de/produkte/boss/).
Voor een completer lijstje, kijk hier eens:
http://www.forinsect.de/security/bootcds.html

Egeltje, je kan de te onderzoeken schijf toch als extra schijf in een systeem
plaatsen die wel van The Sleuth Kit is voorzien?

06-09-2006, 11:24 door Anoniem

Door egeltje
Dus als ik het goed snap, installeer je deze tools en kun je
gaan
grasduinen...

Regel 1 van forensisch onderzoek is toch dat je het te
onderzoeken
bestandsysteem niet aanraakt? Je trekt een kopie en gaat
daar read-only
in grasduinen. Leve de live Linux CD's zoals FCCU
(http://www.d-
fence.be/), FIRE (http://fire.dmzs.com/), INSERT
(http://www.inside-
security.de/insert_en.html) of BOSS
(http://www.bsi.de/produkte/boss/).
Voor een completer lijstje, kijk hier eens:
http://www.forinsect.de/security/bootcds.html

Regel 1 is dat je de bij EnCase geleverde, gecertificeerde
write-blocker gebruikt.

06-09-2006, 11:25 door e.r.

Op je laatste link in het lijstje staat een Sleuth boot CD :p
http://luge.cc.emory.edu/psl.html

06-09-2006, 14:31 door Constant

Door Anoniem

Egeltje, je kan de te onderzoeken schijf toch als extra schijf in een systeem
plaatsen die wel van The Sleuth Kit is voorzien?

Windows schrijft dan wel informatie op de te onderzoeken harde schijf
(zoals toevoegen recycel bin), dus voor de rechtbank kan je al niet meer
garanderen dat het bewijsmateriaal integer is. Ik ben het dus met Egeltje eens.

Regel 1 is dat je de bij EnCase geleverde, gecertificeerde
write-blocker gebruikt.

@anoniem: de writeblocker is geen regel 1 maar één van de methodes
om te waarborgen dat regel 1 van egeltje (integriteit bestanden
waarborgen) wordt bereikt. Door met de EnCase DOS bootdiskette (of vergelijkbare bitstream kopieertools) een copy te maken, bereik je hetzelfde zonder de dure writeblocker (kopieren gaat ook veel sneller zo was destijds mijn ervaring). De writeblokker is met name ontworpen voor de EnCase gebruikers zonder technische kennis, zoals de vele hobbyende cybercops. En er zijn meer forensische IT tools dan alleen EnCase, dus regel 1 is iets teveel middel (EnCase) en te weinig gericht op het doel (professioneel forensisch onderzoek).

07-09-2006, 10:51 door Anonl3m

Regel 1 is dat je de bij EnCase geleverde, gecertificeerde
write-blocker gebruikt.

Regel 1 is dat je met je tengels van spullen afblijft waar
je geen verstand van hebt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer