Forensik mit Deft Linux
DEFT Linux ist eine Live-DVD, mit der Sie Angreifer auf dem PC erkennen und aussperren können. Nach dem Boot-Vorgang der DVD starten Sie die grafische Oberfläche mit dem Befehl deft-gui. In der grafischen Oberfläche stehen verschiedene Forensik-Tools zur Verfügung. Besonders interessant ist dabei der Autopsy Forensic Browser. Dieser kann Inhalte von Dateien und den Zeitpunkt von Änderungen in Dateien auslesen.
Ebenfalls dabei ist das Tool Maltego Community Edition. Mit dieser Software überprüfen Sie auch Daten in sozialen Netzwerken wie Facebook oder Google+. Auch andere Seiten lassen sich mit Maltego durchsuchen.
Digital Advanced Response Toolkit 2.0
Die Entwickler von Deft stellen ein weiteres Toolkit zur Verfügung, mit dem sich forensische Analysen durchführen lassen. DART steht ebenfalls auf der Seite von Deft Linux zum Download bereit. Sie können das Tool auch ohne Deft einsetzen. Nach dem Download müssen Sie das Archiv entpacken und können die grafische Oberfläche mit dart.exe, auch ohne Installation starten. Viele Antivirenprogramme melden zahlreiche Warnungen beim Start von dart.exe. Das liegt daran, dass das Tool viele Hacker-Tools enthält, es ist aber kein Virus dabei. Dennoch sollten nur geübte Anwender das Tool einsetzen.
Die Forensiksammlung ist in verschiedene Kategorien unterteilt. Wenn Sie sich durch die Bereiche klicken, sehen Sie links im Fenster die verschiedenen untergeordneten Tools. Für jedes gibt es eine Beschreibung, und Sie können die Tools aus der DART-Oberfläche heraus starten.
Besonders interessant in diesem Bereich ist der Menüpunkt Forensics. Im Bereich Browser können Sie den Browser auf Ihrem Rechner untersuchen und sich Verlauf, Cache, Favoriten und vieles Weitere anzeigen und auslesen lassen.
Mit dem Browser Forensic Tool, sehen Sie, wie oft die verschiedenen Browser auf Ihrem Rechner genutzt wurden. Mit Browser History Spy wird angezeigt, welche Webseiten auf dem Rechner besucht wurden. Hierüber lassen sich auch interne Webzugriffe anzeigen, zum Beispiel auf die Verwaltungsportale von Firewalls, Routern, oder anderen Geräten.
Sie müssen dazu nur das entsprechende Tool starten und den Rechner scannen lassen. Haben Sie den Verdacht, dass unberechtigte Anwender verschlüsselte Dateien auf dem Rechner abgelegt haben, liest DART dies ebenfalls aus. Die entsprechenden Tools dazu finden Sie im Bereich Encryption.
Im Bereich Incidend Resp können Sie über den Bereich Antivirus den Rechner auch nach Angreifern durchsuchen und diese gleich entfernen. Unterhalb von System Info finden Sie hier auch verschiedene Tools, die Informationen zu Laufwerken, den Anmeldezeiten und weiterer Daten Ihres Rechners weitergeben. (hal)