| |
X-Ways
Capture: Elektronische Beweismittelsicherung mit Erfolg
für Windows 2000/XP* + Linux
|
X-Ways Capture
1.21
Vollständige Beschreibung als PDF-Dokument |
Spezialisiertes Computerforensik-Tool für die elektronische
Beweismittelsicherung von Windows- und Linux-Systemen
im laufenden
Betrieb. X-Ways Capture sichert alle Daten z. B. auf eine externe USB-Festplatte,
so daß nach dem Ausschalten des Computers auch solche Daten noch für
eine forensische Untersuchung zur Verfügung stehen, die einer Verschlüsselung
oder anderem Zugriffsschutz unterworfen, aber zum Zeitpunkt der
Sicherung gerade per Passwort freigeschaltet waren.
So vermeiden Sie,
wie nach dem Abschalten des Systems und einer konventionellen Sicherung mit „leeren Händen“ dazustehen,
wenn Sie feststellen, daß die relevanten Dateien verschlüsselt sind! Etwaige Passwörter
lassen sich u. U. zudem später im gesicherten Arbeitsspeicher finden.
- Sucht mit unterschiedlichen Methoden nach Anzeichen
von laufender bekannter und unbekannter Verschlüsselungssoftware und
meldet diese.
- Erkennt aktiven ATA-Festplatten-Passwortschutz.
- Sichert den physischen Arbeitsspeicher und den
virtuellen Speicher jedes laufenden Prozesses.
- Sichert alle angeschlossenen Datenträger als Roh-Image-Dateien oder Evidence-Files/.e01-Dateien
(physische Sicherung), entweder grundsätzlich oder abhängig von
erkannter Verschlüsselung/Passwortschutz.
- Kopiert alle zugreifbaren Dateien von allen
Laufwerken und allen Verzeichnissen auf den
Ausgabedatenträger (logische Sicherung), entweder grundsätzlich oder
abhängig von erkannter Verschlüsselung.
- Alle Arbeitsschritte und Einstellungen sind weitgehend vom Benutzer
im voraus konfigurierbar sowie komplett ein- und ausschaltbar.
- Sie können die Liste von
Verschlüsselungsprogrammen, die X-Ways Capture erkennt, erweitern.
- Protokolliert sorgfältig sämtliche Erkenntnisse und
vorgenommenen Aktionen.
Anhand bekannter Programmnamen und
Signaturen wird residente Verschlüsselungssoftware wie „PGP Desktop“
oder „BestCrypt“ erkannt.
Freigeschaltete, aber verschlüsselt gespeicherte Container/Laufwerke
werden durch das logische Kopieren erfolgreich gesichert, ebenso
von NTFS/EFS verschlüsselte Dateien, die der angemeldete Benutzer lesen
darf. Von „SecureDoc“, „CompuSec“ oder ähnlichen Programmen
vollverschlüsselte, aber gegenwärtig freigeschaltete Festplatten sowie
von BitLocker oder TrueCrypt verschlüsselte Volumes werden generisch als solche erkannt und im entschlüsselten
Zustand physisch gesichert. X-Ways Capture besteht aus
zwei Modulen, eines für Windows 2000/XP*, das andere für Linux (jeweils
auf Intel-x86-Architektur). Kommandozeilenprogramm mit geringem
Speicherbedarf. Umschaltbar zwischen Deutsch und Englisch. X-Ways
Capture ist einfach zu bedienen, denn sobald Sie die interne Ablauflogik
einmal an Ihre Bedürfnisse angepaßt haben, erledigt es vor Ort die
Arbeit immer selbständig.
Im Vergleich mit X-Ways Forensics sind
die Besonderheiten von X-Ways Capture, daß es
- nicht nur unter Windows läuft, sondern auch unter
Linux
- vorkonfigurierte Schritte automatisch abarbeitet,
ohne weitere Benutzerinteraktion
- automatisch diverse Verschlüsselungsmaßnahmen und
Paßwortschutz erkennt
- optional darauf basierend eine intelligente Wahl
treffen, ob das System gesichert werden sollte, solange es noch
läuft
|
Lizenzen für X-Ways Capture tragen zur
Erlangung des
Goldstatus
bei.
Lizenzvereinbarung
Dem Benutzer muß bewußt sein, dass durch
das Anschließen eines weiteren Datenträgers und das Ausführen von X-Ways
Capture das laufende System (zumindest ein kleiner Teil des
Arbeitsspeichers) geringfügig verändert wird. Um X-Ways Capture möglichst
klein und sparsam an Ressourcen zu halten, wurde es ohne graphische
Oberfläche entwickelt. Dadurch wird beim Laden des Programms so wenig
Arbeitspeicher wie möglich verändert.
Um geschützte Daten im unverschlüsselten Zustand sichern zu können,
bleibt Ihnen keine andere Wahl, als eine solche
geringfügige Änderung in Kauf zu nehmen. Beachten Sie außerdem, dass im laufenden Betrieb
vorgenommene physische Sicherungen aus Betriebssystemsicht ggf. keinen
konsistenten Zustand abbilden, weil sich z. B. gerade bestimmte temporäre
Dateien im Zugriff befanden.
Das Sichern des physischen
Arbeitsspeichers sowie physischer Datenträger erfordert Administrator-
bzw. Root-Rechte.
*Bekannte Beschränkungen unter Windows Vista und Windows 2008 Server:
DumpPhysicalMemory und HPACheck funktionieren nicht.
Contribution from Mark McKinnon: “I
recently have been testing using capture accross the network. What I did
was map 2 network drives on a virtual server back to my machine and ran
capture and was able to image the virtual server sitting from my desk.
This could come in handy for having to image a pc when the person
resides accross the country in a remote office.
“What I did was create a batch file that maps 2 drives, one to the
executable directory of capture and the other to where I want the output
to go to, and then do a psexec.exe on it with the option to copy the
file to the computer. I know this is changing the system somewhat but
the nice thing is the file is small enough to reside in the $MFT and not
actually written to disk. The only other changes to the system is to the
registry and also the prefetch (if xp is being captured). I also created
a frontend using autoit so that you could put in the parameters to call
the batch program, there is no echo on the batch file so you cannot see
the admin password that is being used which is another bonus for
administrators who do not want to hand out a password.
“Just thought I would pass it along as a bonus to using capture that
makes it a excellent buy compared to buying other more expensive (much
more) packages to do remote imaging. I have attached the Autoit script
and executable and the batch files if you are interested. You can also
put them on your site as wel to show how to remote image a server/pc
(the script probably needs some help though).”
Download.
Weitere forensische Software:
X-Ways Forensics • Evidor • X-Ways Trace
|
