Forensik

~ 0 min
2023-02-06 15:57

DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net

DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.

Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.

Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]

  • Überwachungsrichtlinien
    Achtung! Jeder DC hat ein eigenes Protokoll und muss separat überprüft werden!
  • Gruppenrichtlinien VORHER einrichten (per GPO Default DomainControllers Policy: Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie):
    - Anmeldeereignisse = überwachen
    - Kontenverwaltung = überwachen 
    - Verzeichnisdienstzugriff = überwachen 
    - Objektzugriffsversuche = überwachen 
    - Richtlinienänderungen = überwachen 
    - Systemereignisse = überwachen
    Wichtige zu überwachende Events:
    * ID 4625 = Anmeldefehler
    * ID 4698 = erstellen einer neuen Aufgabe
    * ID 4720 = neues Nutzerkonto wurde erstellt
    * ID 4723 = versuchte Passwort-Änderung
    * ID 4424 = versuchtes Zurücksetzen eines Kennwortes
    * ID 4728 = ein Mitglied wurde zu einer Sicherheitsgruppe hinzu gefügt
  • Windows Protokoll "Sicherheit" Eventlog von 128MB auf min. 1GB vergrößern (per GPO: Computer/Admin.Vorlagen/Windows Komponenten/Ereignisprotokolldienst/Sicherheit: max. Protokolldateigröße)
  • aktuelle Überwachungsrichtlinien anzeigen:  auditpol /get /category:*

siehe auch:

Durchschnittliche Bewertung 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.