Forensic Tools für Windows

Will man zum Beispiel unter Windows ganz schnell und einfach ein 1zu1 Festplatten Image erstellen, fehlen hier schnell die einfachsten Tools die unter Linux vorhanden sind. Wie zum Besipeil dd. Die folgende Tool Sammlung bring dd, netcat und diverse andere Tools mit:

• http://www.gmgsystemsinc.com/fau/

Hier der Inhalt des Paketes:

1. Dd.exe: A completely new implementation inspired by the popular GNU dd utility program.
2. Volume_dump.exe: An original utility to dump volume information and drive information and USN journals.
3. FMData.exe: An original utility to collect files system metadata, to produce and verify security catalogs (cryptographic hash sets) using one or more cryptographic hash algorithms and to verify system binaries using the system file checker (SFC) API.
4. Wipe.exe: An original utility to sterilize media prior to forensic duplication.
5. Nc.exe: A completely new implementation of the popular Netcat utility inspired by the original version created by Hobbit.
6. Zlib.dll: The latest version of Jean-loup Gailly and Mark Adler’s Zlib (currently version 1.2.3).
7. Bzip2.dll: The latest version of J. Seward’s bzip2 library (currently 1.0.4).
8. Boost_regex-vc80-mt-1_34_1.dll: Boost’s regular expression library.
9. Fauerror_xxx.dll: A series of dynamic link libraries (dll’s) that contain the localized language strings for FAU output. There is one dll for each locale supported by the FAU.

Der Download des Paketes kann hier gefunden werden:

• http://www.gmgsystemsinc.com/fau/

oder hier:

• Datei:Fau-1.3.0.2390a.zip

Installation des Paketes

Die Installation ist simpel. Als erstes entpackt man das ZIP Archiv. Nun nimmt man für 64Bit (FAU.x64) oder 32 Bit (FAU.x86) Systeme den Inhalt der entsprechenden Ordner und kopiert den gesamten Inhalt des Ordners nach %WinDir%\System32. Der Vorteil hiervon ist, das dank der Path Variable die Befehle von allen Orten aus funktionieren.

Festplatten Image erzeugen

Das Erstellen eines HDD Images funktioniert nun ähnlich wie unter Linux. Wir verwenden hierfür nun die dd.exe
Beispiele:

dd.exe -v if=\\.\F: of=h:\filename.img conv=noerror --chunk 2GiB --log --cryptsum md5 --cryptsum sha1 –localwrt