USB Stick Dateien sehen ohne USB-Stick möglich?
USB Stick am PC gehabt. Dann weg. Kann man am PC irgendwo irgendwie herausfinden welche Dateien drauf waren?
Geht nicht um das Dateien lesen. Sondern nur welche Dateien.
4 Antworten
Leider nicht.
Zwar indiziert Windows alles mögliche wenn dem langweilig ist, aber leider nicht von externen Speichern. Das könnte wertvolle Ressourcen auf dem entfernten Server vergeuden oder gar Kosten durch Datenübertragung verursachen. Daher ist das abgeschaltet und nur die internen Speicher, also nur die fest eingebauten Platten werden indiziert. USB Platten werden in dem Punkt wie Netzwerkfreigaben behandelt.
Diese Artefakte müsse man dann aber selber suchen. Irgendwo direkt finden kann man das nicht.
OSForensics Demo-Version wäre eine Idee oder Autopsy und die entsprechenden Ingest Module, die diese parsen.
Sonst gibt es diverse Tools von NirSoft oder Eric Zimmerman und einigen anderen.
Das einfachste ist sicher OSForensics. Das bringt alles nötige mit und wertet diverse Artefakte aus ohne, dass man einiges zusätzliche installieren oder mit CLI-Tools herumhantieren müsste!
Wenn man das Fachwissen hat, dann ist das leicht was zu finden. Aber dann muss man so etwas nicht fragen.
Für den Laien also nicht wirklich möglich. Es sei denn, der hat richtig Bock darauf so etwas zu erlernen und sich mit Daten aller Art und deren Darstellung sowie mit Tools um sich Binärdateien anzeigen zu lassen vertraut zu machen.
Darum OSForensics - das Tool macht die ganze Arbeit und man muss sich nur die Daten in den entsprechenden Kategorien durchsehen und schauen was man finden kann.
Andere Tools erfordern etwas Fachwissen. Autopsy ist ziemlich einfach denn auch da wird alles automatisch verarbeitet. Man muss nur die Ingest-Module herunterladen und installieren.
https://cryptokait.files.wordpress.com/2021/03/5.png?w=1600
Beachte die ganzen geparsten Kategorien wie Browser-History, Cookies, USB-Geräte, usw. Wenn man alle Module installiert, gibt es noch dutzende weitere Rubriken.
Die anderen Tools sind natürlich deutlich Anspruchsvoller...
Ein Forensiker muss natürlich auch in der Lage sein die Arbeit der Tools zu prüfen und Notfalls weitere Artefakte per Hand zu extrahieren.
Für den Laien der mal etwas prüfen will, ist ein Tool wie OSF ganz OK. Mit etwas Zeit kann man sich da durch die Rubriken klicken und schauen was man findet. Noch schneller geht es wenn man sich etwas Zeit nimmt und sich die Tutorials auf Youtube ansieht...
Forensik-Tools sind einfach nur "hochgezüchtete" Dateibrowser die alle möglichen Dateiformate und Artefakte einfach darstellen um die Betrachtung der Daten zu erleichtern.
Die von dir angesprochenen Hex-Viewer sind zwar da aber unwichtig für die Suche - sie sind eher hilfreich Treffer händisch zu prüfen oder für weiterführende Analysen...
Nicht falsch verstehen - IT Forensik ist weder leicht noch muss man dazu wenig wissen aber zwischen einer forensischen Untersuchung und ein Tool über eine Platte laufen zu lassen und zu schauen was dabei gefunden wird liegen halt noch Welten.
Die Tools sollen Forensikern die Arbeit erleichtern denn man kann schnell Dinge finden und braucht diese nicht selber zu erarbeiten sondern nur die relevanten Treffer zu verifizieren.
Außerdem sollen die Forensik-Tools auch Nicht-Forensikern wie Anwälten erlauben die Daten zu betrachten und daraus Schlüsse zu ziehen.
Ja eventuell. Schau mal in diversen Windows-Artefakten mit OSForensics nach. Die DEMO sollte es dir erlauben diese zu parsen und sie dir übersichtlich präsentieren...
Zur Not gibt es ein paar Grundlagen-Videos auf Youtube...
Die Liste wird aber höchstwahrscheinlich nicht vollständig sein!
Jene Daten welche du geöffnet hattest könntest du noch unter "zuletzt geöffnet / betrachtet sehen"
Win 11 lässt sich dies möglicherweise über den Startbutton betrachten (die zuletzt geöffneten) hab den quatsch deaktiviert, somit keine klare auskunft...
https://www.pcwelt.de/article/1431834/windows-11-liste-der-zuletzt-geoffneten-dateien-loschen.html
Nein, ausser man hat einen Logger welches die dateien Loggt.
Jein - je nach dem was mit den Daten gemacht wurde kann es durchaus noch Artefakte haben. Aber höchstwahrscheinlich nicht von allen Dateien...