Evidor: Der
elektronische Ermittler
|
Evidor 1.23 Copyright by Idea by White Paper (PDF) |
Software für Anwaltskanzleien, IT-Sicherheits- und Rechtsabteilungen von Unternehmen, polizeiliche Ermittler und Strafverfolgungsbehörden. Funktionalität Evidor extrahiert den Kontext von Schlüsselwörtern auf einem Datenträger und untersucht dabei nicht nur sämtliche Dateien (den gesamten belegten Speicher, z. B. auch Windows-Auslagerungsdateien), sondern auch gegenwärtig unbenutzten Speicher und sog. Schlupfspeicher. Das heißt, Evidor findet sogar Daten aus Dateien, die gelöscht wurden, wenn sie physisch noch vorhanden sind. Evidor ist eine kleine Untermenge der Suchfunktionalität in X-Ways Forensics. Bitte beachten Sie, daß Evidor nicht auf entfernte Netzlaufwerke zugreifen kann. Beweissuche in Computersystemen Evidor ist eine besonders einfache und bequeme Möglichkeit für einen Ermittler, Beweismaterial in Textform auf Datenträgern zu sammeln. In einem Rechtsstreit können Sie Evidor dazu benutzen, nach Absprache gezielt zu relevanten Aspekten Einsicht in die Computer der Gegenpartei zu nehmen. Evidor kann vor Ort eingesetzt werden, enthüllt i. d. R. keine irrelevanten vertraulichen Daten und stellt bei der Gegenpartei kaum Anforderungen an Personal, Zeit und Geld. Evidor dient als automatischer forensischer Ermittler, der Kosten für viele Stunden mühevoller Kleinarbeit eines Experten spart. Evidor erbringt verläßliche, reproduzierbare, neutrale und einfache Ergebnisse, genau wie sie vor Gericht benötigt werden. IT-Sicherheit Evidor eignet sich auch hervorragend dazu, das Vorhandensein oder Nichtvorhandensein von sensiblen Daten nachzuweisen, um entweder Sicherheitslöcher aufzuspüren oder um die Effektivität einer sorgfältigen Löschung zu überprüfen. So finden Sie mit Evidor oft Überbleibsel (oder sogar intakte Kopien) von Daten, die hätten verschlüsselt oder sicher gelöscht werden oder überhaupt niemals auf einem Datenträger existieren sollen. 3 zusätzliche Tools Die folgenden drei Produkte sind im Lieferumfang enthalten: ein mächtiges, sehr leicht bedienbares Tool zur Datenrettung (Davory, professionelle Lizenz), ein Programm, das die interne Log-Datei des MS Internet Explorer dechiffriert (X-Ways Trace) und ein DOS-basiertes Festplatten-Klon-Tool (X-Ways Replica). Wichtig: Als aktuelleres Tool mit mächtigerer Suchfunktionalität und vielen weiteren Funktionen wie Dokumente einsehen, mit Kommentaren versehen, Metadaten extrahieren, drucken, Berichte erstellen usw, auch relativ einfach zu bedienen, empfehlen wir nun X-Ways Investigator. Wenn Sie nur die Suchfunktion benötigen und die so einfach wie möglich sein muß, dann ist Evidor nach wie vor besser. |
Verwendung und Funktionsweise
Wählen Sie einfach den zu untersuchenden Datenträger aus und geben Sie eine Liste von Schlüsselwörtern an (etwa die Namen von Personen, die in den Fall verwickelt sind, E-Mail-Adressen, Bezeichnungen gehandelter Ware usw.). Darauf extrahiert Evidor den Kontext (die Umgebung) aller Vorkommnisse dieser Wörter auf dem Datenträger. Wenn Sie die Ausgabedatei einsehen, werden Sie Ausschnitte aus Dokumenten finden, die mit den Schlüsselwörtern eng zusammenhängen, z. B. Bestellungen, E-Mails, Adreßbücher, Terminplaner usw.
Evidor kann entweder HTML-Dokumente (empfohlen) oder normale Textdateien erzeugen. HTML-Dokumente können leicht in MS Excel importiert und weiterverarbeitet werden. In MS Excel können Sie nach Suchwort oder Fundort sortieren, Sie können irrelevante Fundstellen herausschneiden usw. Textdateien können in jedem Texteditor und in jeder Textverarbeitung eingesehen werden. Fundstellen werden durch Zeilenumbrüche und Sternchen voneinander getrennt.
Zur Probe
Dieses von Evidor erstellte (aber zur Verdeutlichung des Prinzips nachbearbeitete) Beispiel einer HTML-Ausgabedatei zeigt Vorkommnisse des Namens Enno Zwielicht, der E-Mail-Adresse enno.zwielicht@gmx.de, des Straßennamens Dunkle Gasse, der Stadt Bottrop und des Internet-Domainnamens drugdealer.com auf dem Laufwerk D: eines Benutzers. Diese Bezeichnungen tauchen in E-Mails auf, in temporären Internet-Dateien, Word-Dokumenten, in freiem Speicher und auch zufällig in nicht relevanten Anschriften auf usw.
Dieses Beispiel einer Textausgabedatei zeigt alle Vorkommnisse einer Internetadresse (hier: http://www.microsoft.com). Evidor zitiert hier den Kontext aus temporären Internetdateien (Browser-Cache), aus der versteckten Protokolldatei des Internet Explorer (die selten eine jemals besuchte Web-Site wieder vergißt) und aus dem freien Laufwerksspeicher (offensichtlich ehemals auch vom Browser-Cache belegt).
Bildschirmfoto
DOS-Cloning-Tool enthalten
Ein einfaches DOS-basiertes Tool zum Klonen von Festplatten ist Teil von Evidor, da empfohlen wird, auf einer Kopie, nicht auf dem Originaldatenträger zu arbeiten, und da die meisten Windows-Umgebungen dazu neigen, auf eine neu angeschlossene Festplatte ungefragt zuzugreifen und dabei z. B. die Zeit des letzten Zugriffs von Dateien verändern. Das wird unter DOS vermieden. X-Ways Replica
Verwandte Software: X-Ways Forensics
Letzte Neuerungen
v1.2 |
|
v1.01 |
|