| |
Evidor: Der
elektronische Ermittler
seit 2004 nicht mehr weiter gepflegt, X-Ways
Investigator statt dessen zu empfehlen
|
Evidor 1.23
Copyright by
X-Ways AG
Idea by
Jerry Saperstein
White Paper (PDF) |
Software für
Anwaltskanzleien, IT-Sicherheits- und Rechtsabteilungen von Unternehmen, polizeiliche
Ermittler und Strafverfolgungsbehörden.
Funktionalität
Evidor extrahiert den Kontext von
Schlüsselwörtern auf einem Datenträger und untersucht dabei nicht nur sämtliche
Dateien (den gesamten belegten Speicher, z. B. auch Windows-Auslagerungsdateien),
sondern auch gegenwärtig unbenutzten Speicher und sog. Schlupfspeicher.
Das heißt, Evidor findet sogar Daten aus Dateien, die gelöscht wurden, wenn sie physisch
noch vorhanden sind. Evidor ist eine kleine Untermenge der
Suchfunktionalität in X-Ways
Forensics. Bitte beachten Sie, daß Evidor nicht
auf entfernte Netzlaufwerke zugreifen kann.
Beweissuche in Computersystemen
Evidor ist eine besonders einfache und bequeme
Möglichkeit für einen Ermittler, Beweismaterial in Textform auf Datenträgern zu
sammeln. In einem Rechtsstreit können Sie Evidor dazu benutzen, nach Absprache gezielt zu
relevanten Aspekten Einsicht in die Computer der Gegenpartei zu nehmen. Evidor kann vor
Ort eingesetzt werden, enthüllt i. d. R. keine irrelevanten vertraulichen Daten und
stellt bei der Gegenpartei kaum Anforderungen an Personal, Zeit und Geld. Evidor dient als
automatischer forensischer Ermittler, der Kosten für viele Stunden mühevoller
Kleinarbeit eines Experten spart. Evidor erbringt verläßliche, reproduzierbare, neutrale
und einfache Ergebnisse, genau wie sie vor Gericht benötigt werden.
IT-Sicherheit
Evidor eignet sich auch hervorragend dazu, das
Vorhandensein oder Nichtvorhandensein von sensiblen Daten nachzuweisen, um entweder
Sicherheitslöcher aufzuspüren oder um die Effektivität einer sorgfältigen Löschung zu
überprüfen. So finden Sie mit Evidor oft Überbleibsel (oder sogar intakte Kopien) von
Daten, die hätten verschlüsselt oder sicher gelöscht werden oder überhaupt niemals auf
einem Datenträger existieren sollen.
3 zusätzliche Tools
Die folgenden drei Produkte sind im Lieferumfang
enthalten: ein mächtiges, sehr leicht bedienbares Tool zur Datenrettung (Davory, professionelle Lizenz), ein
Programm, das die interne Log-Datei des MS Internet Explorer dechiffriert (X-Ways Trace) und ein DOS-basiertes
Festplatten-Klon-Tool (X-Ways Replica).
Wichtig: Als aktuelleres Tool mit
mächtigerer Suchfunktionalität und vielen weiteren Funktionen wie
Dokumente einsehen, mit Kommentaren versehen, Metadaten extrahieren,
drucken, Berichte erstellen usw, auch relativ einfach zu bedienen,
empfehlen wir nun X-Ways
Investigator. Wenn Sie nur die Suchfunktion benötigen und die so
einfach wie möglich sein muß, dann ist Evidor nach wie vor besser.
|
Verwendung und Funktionsweise
Wählen Sie einfach den zu untersuchenden Datenträger
aus und geben Sie eine Liste von Schlüsselwörtern an (etwa die Namen von
Personen, die in den Fall verwickelt sind, E-Mail-Adressen, Bezeichnungen gehandelter Ware
usw.). Darauf extrahiert Evidor den Kontext (die Umgebung) aller Vorkommnisse dieser
Wörter auf dem Datenträger. Wenn Sie die Ausgabedatei einsehen, werden Sie
Ausschnitte aus Dokumenten finden, die mit den Schlüsselwörtern eng zusammenhängen, z.
B. Bestellungen, E-Mails, Adreßbücher, Terminplaner usw.
Evidor kann entweder HTML-Dokumente (empfohlen) oder
normale Textdateien erzeugen. HTML-Dokumente können leicht in MS Excel importiert und
weiterverarbeitet werden. In MS Excel können Sie nach Suchwort oder Fundort sortieren,
Sie können irrelevante Fundstellen herausschneiden usw. Textdateien können in jedem
Texteditor und in jeder Textverarbeitung eingesehen werden. Fundstellen werden durch
Zeilenumbrüche und Sternchen voneinander getrennt.
Zur Probe
Dieses von Evidor erstellte (aber zur Verdeutlichung des
Prinzips nachbearbeitete) Beispiel einer HTML-Ausgabedatei
zeigt Vorkommnisse des Namens „Enno Zwielicht“, der E-Mail-Adresse
„enno.zwielicht@gmx.de“, des Straßennamens „Dunkle Gasse“, der Stadt
„Bottrop“ und des Internet-Domainnamens „drugdealer.com“ auf dem
Laufwerk D: eines Benutzers. Diese Bezeichnungen tauchen in E-Mails auf, in temporären
Internet-Dateien, Word-Dokumenten, in freiem Speicher und auch zufällig in nicht
relevanten Anschriften auf usw.
Dieses Beispiel einer
Textausgabedatei zeigt alle Vorkommnisse einer Internetadresse (hier:
http://www.microsoft.com). Evidor zitiert hier den Kontext aus temporären Internetdateien
(Browser-Cache), aus der versteckten Protokolldatei des Internet Explorer (die selten eine
jemals besuchte Web-Site wieder vergißt) und aus dem freien Laufwerksspeicher
(offensichtlich ehemals auch vom Browser-Cache belegt).
Bildschirmfoto
DOS-Cloning-Tool enthalten
Ein einfaches DOS-basiertes Tool zum Klonen von
Festplatten ist Teil von Evidor, da empfohlen wird, auf einer Kopie, nicht auf
dem Originaldatenträger zu arbeiten, und da die meisten Windows-Umgebungen dazu neigen,
auf eine neu angeschlossene Festplatte ungefragt zuzugreifen und dabei z. B. die Zeit des
letzten Zugriffs von Dateien verändern. Das wird unter DOS vermieden. X-Ways Replica
Verwandte Software:
X-Ways Forensics
Letzte Neuerungen
v1.2 |
- Evidor ist jetzt auf Französisch verfügbar
- Die Berichtdatei beginnt nun mit einer vollständigen Beschreibung des
untersuchten Datenträgers (Laufwerksmodell, Seriennummer usw.)
- Suchbegriffe werden nun innerhalb des extrahierten Kontextes in Blau
hervorgehoben (HTML-Ausgabe)
|
v1.01 |
- Fehler behoben: in einigen Fällen falsch berichtete Sektor-Nummern
- Exakter Offset (Adresse) jedes Vorkommnisses wird berichtet, in dezimaler
Schreibweise
|
|
