Sicherer Computer

Mit Forensik PC-Einbrecher erkennen und aussperren

27.12.2015
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Forensik mit Deft Linux

DEFT Linux ist eine Live-DVD, mit der Sie Angreifer auf dem PC erkennen und aussperren können. Nach dem Boot-Vorgang der DVD starten Sie die grafische Oberfläche mit dem Befehl deft-gui. In der grafischen Oberfläche stehen verschiedene Forensik-Tools zur Verfügung. Besonders interessant ist dabei der Autopsy Forensic Browser. Dieser kann Inhalte von Dateien und den Zeitpunkt von Änderungen in Dateien auslesen.

Ebenfalls dabei ist das Tool Maltego Community Edition. Mit dieser Software überprüfen Sie auch Daten in sozialen Netzwerken wie Facebook oder Google+. Auch andere Seiten lassen sich mit Maltego durchsuchen.

Digital Advanced Response Toolkit 2.0

Die Entwickler von Deft stellen ein weiteres Toolkit zur Verfügung, mit dem sich forensische Analysen durchführen lassen. DART steht ebenfalls auf der Seite von Deft Linux zum Download bereit. Sie können das Tool auch ohne Deft einsetzen. Nach dem Download müssen Sie das Archiv entpacken und können die grafische Oberfläche mit dart.exe, auch ohne Installation starten. Viele Antivirenprogramme melden zahlreiche Warnungen beim Start von dart.exe. Das liegt daran, dass das Tool viele Hacker-Tools enthält, es ist aber kein Virus dabei. Dennoch sollten nur geübte Anwender das Tool einsetzen.

Dart ist eine Tool-Sammlung für die Forensik auf Windows-Rechnern und Netzwerken.
Dart ist eine Tool-Sammlung für die Forensik auf Windows-Rechnern und Netzwerken.

Die Forensiksammlung ist in verschiedene Kategorien unterteilt. Wenn Sie sich durch die Bereiche klicken, sehen Sie links im Fenster die verschiedenen untergeordneten Tools. Für jedes gibt es eine Beschreibung, und Sie können die Tools aus der DART-Oberfläche heraus starten.

Besonders interessant in diesem Bereich ist der Menüpunkt Forensics. Im Bereich Browser können Sie den Browser auf Ihrem Rechner untersuchen und sich Verlauf, Cache, Favoriten und vieles Weitere anzeigen und auslesen lassen.

Mit Digital Advanced Response Toolkit lassen Sie sich den Verlauf eines Rechners umfassend anzeigen.
Mit Digital Advanced Response Toolkit lassen Sie sich den Verlauf eines Rechners umfassend anzeigen.

Mit dem Browser Forensic Tool, sehen Sie, wie oft die verschiedenen Browser auf Ihrem Rechner genutzt wurden. Mit Browser History Spy wird angezeigt, welche Webseiten auf dem Rechner besucht wurden. Hierüber lassen sich auch interne Webzugriffe anzeigen, zum Beispiel auf die Verwaltungsportale von Firewalls, Routern, oder anderen Geräten.

Mit Browser History Spy können Sie sich den Verlauf der Browser übersichtlich anzeigen lassen.
Mit Browser History Spy können Sie sich den Verlauf der Browser übersichtlich anzeigen lassen.

Sie müssen dazu nur das entsprechende Tool starten und den Rechner scannen lassen. Haben Sie den Verdacht, dass unberechtigte Anwender verschlüsselte Dateien auf dem Rechner abgelegt haben, liest DART dies ebenfalls aus. Die entsprechenden Tools dazu finden Sie im Bereich Encryption.

Im Bereich Incidend Resp können Sie über den Bereich Antivirus den Rechner auch nach Angreifern durchsuchen und diese gleich entfernen. Unterhalb von System Info finden Sie hier auch verschiedene Tools, die Informationen zu Laufwerken, den Anmeldezeiten und weiterer Daten Ihres Rechners weitergeben. (hal)