Alex' blog

"USBdeview" listet alle jemals eingesteckten USB-Geräte mit Datum und Uhrzeit der letzten Benutzung auf (außer U3 (hörensagen)). Natürlich zeigt dieses Tool noch viele weitere Details über USB-Geräte an.

Reinschauen lohnt sich !

Gestern hatte ich Zeit, um die Tools darauf einmal auszuprobieren. Ok, eigentlich nicht ganz richtig. Bislang habe ich mir nur ein Tool darauf, WFT, angeschaut.

Mit Hilfe der mitgelieferten CD und einigen weiteren Tools baut man sich seine eigene Live-Windows-Forensik-CD zusammen, die in den zu untersuchenden PC zwecks Sicherung flüchtiger Daten eingelegt wird. Der PC muss dazu also noch eingeschalten sein. Sofern er aus ist, bleibt er auch aus. Wenn er allerdings noch eingeschalten ist und (hoffentlich) ein Benutzer angemeldet ist, kann man die CD einlegen und das Tool WFT starten, welches dann nach einigen Abfragen einen Bericht anfertigt mit vielen wichtigen und auch flüchtigen Daten. Einige Tools greifen allerdings auch schreibend auf das System zu. Diese Tools kann man allerdings auch explizit an der Ausführung hindern. Schließlich ist ein Veränderung des Ist-Zustands nicht sinnvoll.
Allerdings werden sonst wesentlich weniger Informationen gewonnen. Hier muss man also das Für und Wider abwägen.

Falls der PC noch eingeschalten, aber kein Benutzer mehr eingeloggt ist, steht man ebenso vor der Qual der Wahl, sofern man über Login-Daten verfügt. Tun oder doch besser bleiben lassen (hart ausschalten und Image über z.B. dd von einer Linux Live-CD von der betroffenen Festplatte anfertigen) ...