X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

X-Ways Capture: Elektronische Beweismittelsicherung mit Erfolg

für Windows 2000/XP* + Linux

 

X-Ways Capture
1.21
seit längerer Zeit nicht mehr gepflegt

Vollständige Beschreibung als PDF-Dokument

Spezialisiertes Computerforensik-Tool für die elektronische Beweismittelsicherung von Windows- und Linux-Systemen im laufenden Betrieb. X-Ways Capture sichert alle Daten z. B. auf eine externe USB-Festplatte, so daß nach dem Ausschalten des Computers auch solche Daten noch für eine forensische Untersuchung zur Verfügung stehen, die einer Verschlüsselung oder anderem Zugriffsschutz unterworfen, aber zum Zeitpunkt der Sicherung gerade per Passwort freigeschaltet waren. So vermeiden Sie, wie nach dem Abschalten des Systems und einer konventionellen Sicherung mit „leeren Händen“ dazustehen, wenn Sie feststellen, daß die relevanten Dateien verschlüsselt sind! Etwaige Passwörter lassen sich u. U. zudem später im gesicherten Arbeitsspeicher finden.

  • Sucht mit unterschiedlichen Methoden nach Anzeichen von laufender bekannter und unbekannter Verschlüsselungssoftware und meldet diese.
  • Erkennt aktiven ATA-Festplatten-Passwortschutz.
  • Sichert den physischen Arbeitsspeicher und den virtuellen Speicher jedes laufenden Prozesses.
  • Sichert alle angeschlossenen Datenträger als Roh-Image-Dateien oder Evidence-Files/.e01-Dateien (physische Sicherung), entweder grundsätzlich oder abhängig von erkannter Verschlüsselung/Passwortschutz.
  • Kopiert alle zugreifbaren Dateien von allen Laufwerken und allen Verzeichnissen auf den Ausgabedatenträger (logische Sicherung), entweder grundsätzlich oder abhängig von erkannter Verschlüsselung.
  • Alle Arbeitsschritte und Einstellungen sind weitgehend vom Benutzer im voraus konfigurierbar sowie komplett ein- und ausschaltbar.
  • Sie können die Liste von Verschlüsselungsprogrammen, die X-Ways Capture erkennt, erweitern.
  • Protokolliert sorgfältig sämtliche Erkenntnisse und vorgenommenen Aktionen.

Anhand bekannter Programmnamen und Signaturen wird residente Verschlüsselungssoftware wie „PGP Desktop“ oder „BestCrypt“ erkannt. Freigeschaltete, aber verschlüsselt gespeicherte Container/Laufwerke werden durch das logische Kopieren  erfolgreich gesichert, ebenso von NTFS/EFS verschlüsselte Dateien, die der angemeldete Benutzer lesen darf. Von „SecureDoc“, „CompuSec“ oder ähnlichen Programmen vollverschlüsselte, aber gegenwärtig freigeschaltete Festplatten sowie von BitLocker oder TrueCrypt verschlüsselte Volumes werden generisch als solche erkannt und im entschlüsselten Zustand physisch gesichert.

X-Ways Capture besteht aus zwei Modulen, eines für Windows 2000/XP*, das andere für Linux (jeweils auf Intel-x86-Architektur). Kommandozeilenprogramm mit geringem Speicherbedarf. Umschaltbar zwischen Deutsch und Englisch. X-Ways Capture ist einfach zu bedienen, denn sobald Sie die interne Ablauflogik einmal an Ihre Bedürfnisse angepaßt haben, erledigt es vor Ort die Arbeit immer selbständig.

Im Vergleich mit X-Ways Forensics sind die Besonderheiten von X-Ways Capture, daß es

  • nicht nur unter Windows läuft, sondern auch unter Linux
  • vorkonfigurierte Schritte automatisch abarbeitet, ohne weitere Benutzerinteraktion
  • automatisch diverse Verschlüsselungsmaßnahmen und Paßwortschutz erkennt
  • optional darauf basierend eine intelligente Wahl treffen, ob das System gesichert werden sollte, solange es noch läuft

 

Newsletter abonnieren
Möchten Sie über Updates informiert werden? Bitte geben Sie Ihre E-Mail-Adresse ein.

Lizenzen für X-Ways Capture tragen zur Erlangung des Goldstatus bei.

Lizenzvereinbarung

Dem Benutzer muß bewußt sein, dass durch das Anschließen eines weiteren Datenträgers und das Ausführen von X-Ways Capture das laufende System (zumindest ein kleiner Teil des Arbeitsspeichers) geringfügig verändert wird. Um X-Ways Capture möglichst klein und sparsam an Ressourcen zu halten, wurde es ohne graphische Oberfläche entwickelt. Dadurch wird beim Laden des Programms so wenig Arbeitspeicher wie möglich verändert. Um geschützte Daten im unverschlüsselten Zustand sichern zu können, bleibt Ihnen keine andere Wahl, als eine solche geringfügige Änderung in Kauf zu nehmen. Beachten Sie außerdem, dass im laufenden Betrieb vorgenommene physische Sicherungen aus Betriebssystemsicht ggf. keinen konsistenten Zustand abbilden, weil sich z. B. gerade bestimmte temporäre Dateien im Zugriff befanden. Das Sichern des physischen Arbeitsspeichers sowie physischer Datenträger erfordert Administrator- bzw. Root-Rechte.

X-Ways Capture

*Bekannte Beschränkungen unter Windows Vista und Windows 2008 Server: DumpPhysicalMemory und HPACheck funktionieren nicht.


Contribution from Mark McKinnon: “I recently have been testing using capture accross the network. What I did was map 2 network drives on a virtual server back to my machine and ran capture and was able to image the virtual server sitting from my desk. This could come in handy for having to image a pc when the person resides accross the country in a remote office.

“What I did was create a batch file that maps 2 drives, one to the executable directory of capture and the other to where I want the output to go to, and then do a psexec.exe on it with the option to copy the file to the computer. I know this is changing the system somewhat but the nice thing is the file is small enough to reside in the $MFT and not actually written to disk. The only other changes to the system is to the registry and also the prefetch (if xp is being captured). I also created a frontend using autoit so that you could put in the parameters to call the batch program, there is no echo on the batch file so you cannot see the admin password that is being used which is another bonus for administrators who do not want to hand out a password.

“Just thought I would pass it along as a bonus to using capture that makes it a excellent buy compared to buying other more expensive (much more) packages to do remote imaging. I have attached the Autoit script and executable and the batch files if you are interested. You can also put them on your site as wel to show how to remote image a server/pc (the script probably needs some help though).” Download.

 

Weitere forensische Software:
X-Ways ForensicsEvidorX-Ways Trace