X-Ways Capture: Elektronische Beweismittelsicherung mit Erfolgfür Windows 2000/XP* + Linux
|
X-Ways Capture |
Spezialisiertes Computerforensik-Tool für die elektronische Beweismittelsicherung von Windows- und Linux-Systemen im laufenden Betrieb. X-Ways Capture sichert alle Daten z. B. auf eine externe USB-Festplatte, so daß nach dem Ausschalten des Computers auch solche Daten noch für eine forensische Untersuchung zur Verfügung stehen, die einer Verschlüsselung oder anderem Zugriffsschutz unterworfen, aber zum Zeitpunkt der Sicherung gerade per Passwort freigeschaltet waren. So vermeiden Sie, wie nach dem Abschalten des Systems und einer konventionellen Sicherung mit leeren Händen dazustehen, wenn Sie feststellen, daß die relevanten Dateien verschlüsselt sind! Etwaige Passwörter lassen sich u. U. zudem später im gesicherten Arbeitsspeicher finden.
Anhand bekannter Programmnamen und Signaturen wird residente Verschlüsselungssoftware wie PGP Desktop oder BestCrypt erkannt. Freigeschaltete, aber verschlüsselt gespeicherte Container/Laufwerke werden durch das logische Kopieren erfolgreich gesichert, ebenso von NTFS/EFS verschlüsselte Dateien, die der angemeldete Benutzer lesen darf. Von SecureDoc, CompuSec oder ähnlichen Programmen vollverschlüsselte, aber gegenwärtig freigeschaltete Festplatten sowie von BitLocker oder TrueCrypt verschlüsselte Volumes werden generisch als solche erkannt und im entschlüsselten Zustand physisch gesichert. X-Ways Capture besteht aus zwei Modulen, eines für Windows 2000/XP*, das andere für Linux (jeweils auf Intel-x86-Architektur). Kommandozeilenprogramm mit geringem Speicherbedarf. Umschaltbar zwischen Deutsch und Englisch. X-Ways Capture ist einfach zu bedienen, denn sobald Sie die interne Ablauflogik einmal an Ihre Bedürfnisse angepaßt haben, erledigt es vor Ort die Arbeit immer selbständig. Im Vergleich mit X-Ways Forensics sind die Besonderheiten von X-Ways Capture, daß es
|
Lizenzen für X-Ways Capture tragen zur Erlangung des Goldstatus bei.
Dem Benutzer muß bewußt sein, dass durch das Anschließen eines weiteren Datenträgers und das Ausführen von X-Ways Capture das laufende System (zumindest ein kleiner Teil des Arbeitsspeichers) geringfügig verändert wird. Um X-Ways Capture möglichst klein und sparsam an Ressourcen zu halten, wurde es ohne graphische Oberfläche entwickelt. Dadurch wird beim Laden des Programms so wenig Arbeitspeicher wie möglich verändert. Um geschützte Daten im unverschlüsselten Zustand sichern zu können, bleibt Ihnen keine andere Wahl, als eine solche geringfügige Änderung in Kauf zu nehmen. Beachten Sie außerdem, dass im laufenden Betrieb vorgenommene physische Sicherungen aus Betriebssystemsicht ggf. keinen konsistenten Zustand abbilden, weil sich z. B. gerade bestimmte temporäre Dateien im Zugriff befanden. Das Sichern des physischen Arbeitsspeichers sowie physischer Datenträger erfordert Administrator- bzw. Root-Rechte.
*Bekannte Beschränkungen unter Windows Vista und Windows 2008 Server: DumpPhysicalMemory und HPACheck funktionieren nicht.
Contribution from Mark McKinnon: I
recently have been testing using capture accross the network. What I did
was map 2 network drives on a virtual server back to my machine and ran
capture and was able to image the virtual server sitting from my desk.
This could come in handy for having to image a pc when the person
resides accross the country in a remote office.
What I did was create a batch file that maps 2 drives, one to the
executable directory of capture and the other to where I want the output
to go to, and then do a psexec.exe on it with the option to copy the
file to the computer. I know this is changing the system somewhat but
the nice thing is the file is small enough to reside in the $MFT and not
actually written to disk. The only other changes to the system is to the
registry and also the prefetch (if xp is being captured). I also created
a frontend using autoit so that you could put in the parameters to call
the batch program, there is no echo on the batch file so you cannot see
the admin password that is being used which is another bonus for
administrators who do not want to hand out a password.
Just thought I would pass it along as a bonus to using capture that
makes it a excellent buy compared to buying other more expensive (much
more) packages to do remote imaging. I have attached the Autoit script
and executable and the batch files if you are interested. You can also
put them on your site as wel to show how to remote image a server/pc
(the script probably needs some help though).
Download.
Weitere forensische Software:
X-Ways Forensics Evidor X-Ways Trace