Forensic Live CD :: MI-4n6
Prof. Dr. Daniel Hammer

Systemanalyse

Untersuchung Archive

avfs (avfs-config)

Zugriff auf archivierte und komprimierte Files

Untersuchung Binaries

addr2line	Übersetzt Programmadressen in Filename und Zeilen-Nummer

ar	Archiv und Bibliotheken Verwaltung

c++filt	Untersuchung von C-Funktionsnamen und -Bibliotheken

elfcmp	Vergleicht ein binäres Abbild mit einem Prozess um Veränderungen auszuschließen

nm	Untersuchen von Quellcode nach Adressen

objcopy	Kopieren und Kompilieren von Object-Files

objdump	Zeigt Informationen von Object-files

ranlib	Erstellt Index von Archiven für schnelleren Zugriff

readelf	Zeigt Inhalt von ELF-Files an

sigfind	Sucht nach HEX-Signatur

size	Gibt Blockgröße von Binary-Files an

strings	Anzeige lesbarer Inhalte

strip	Entfernt Symbole und Sections

Untersuchung Cookies

galleta

Untersuchung von Cookie-Files

Untersuchung Daten wiederherstellen

fatback	Fat-File Wiederherstellung

foremost	Wiederherstellen von Daten

gzrecover (gzrt)	Wiederherstellung beschädigter Zip-Files

LinEn	EnCase-Tool zur Forensischen Untersuchung von Datenträgern und Daten

magicrescue	Wiederherstellung gelöschter und beschädigter Files

magicsort	Klassifiziert von magicrescue gefundene Files

recover	Datenrettung auf EXT2 Filesystemen

recoverdm	Datenrettung von beschädigten Festplatten

recoverjpeg	Wiederherstellung beschädigter JPEG-Bildern

rifiuti	Untersuchung von INFO2 Files des Papierkorbs

rossifstools	Untersuchung von EXT2/3, Reiser und FAT Filesystemen

scalpel	Weiterentwicklung von foremost

scrounge-ntfs	Rettung kompletter NTFS Filesysteme

Expert Witness Format

ewfacquire	ewfacquire liest Mediendaten von einer Quelle und speichert diese im EWF Format (Expert Witness Format)

ewfacquirestream	ewfacquire liest Mediendaten vom stdin und speichert diese im EWF Format (Expert Witness Format)

ewfalter	ewfalter kann Mediendaten in EWF Dateien ändern

ewfexport	ewfexport exportiert Mediendaten aus einer EWF Datei

ewfinfo	ewfinfo zeigt die Metadaten einer EWF Datei

ewfverify	ewfverify verifiziert die Metadaten einer EWF Datei

Untersuchung Hash

hfind	Sucht nach Hashes und erstellt Index File

md5deep	Erstellt MD5 Hash

sha1deep	Erstellt SHA1 Hash

sha256	Erstellt SHA256 Hash

tigerdeep	Erstellt Tiger Hash

whirlpooldeep	Erstellt Whirlpool Hash

Untersuchung Hex

Untersuchung Live

filan	Prozess Analyse

unhide	Findet versteckte Prozesse und Ports

unhide-linus2.6	Findet versteckte Prozesse und Ports

unhide-TCP	Findet offene aber versteckte TCP und UPD Ports

Untersuchung Logs

grokevt	Toolsammlung zum lesen von Windows Event Log Dateien (ab Windows NT): grokevt-addlog grokevt-builddb grokevt-parselog grokevt-ripdll

fccu.evtreader	Windows Eventlog Analyse

Untersuchung Mail

ibpst	Konvertiert MS Outlook Mailfiles und Persönliche Ordner in MBOX-Format

mboxgrep	Untersucht Inhalte von Postfächer im mbox, mh, nnmh, nnml and maildir Format

pst2ldif	Auslesen von Kontakten aus Outlook .PST Files und LDIF-Files

readpst	Auslesen von Outlook .PST nach mbox (Mozilla)

readpstlog	Umwandeln des binären Log-Flies von readpst in z.B. Text-File

Untersuchung Mounting

gpart	Errät Primary Partition Tabelle einer Festplatte bei beschädigtem, manipuliertem oder gelöschtem 0 Sektor

read_data

replace_data

search_data

sgzip	Mounten von Encase Images

write_data

Untersuchung RAM

memdump	Erzeugt Speicherabbild von UNIX-ähnlichen Systemen

memdecay	Kurzzeitige Speicheruntersuchung

memfetch	Dumpt den Speicher laufender Prozesse

mffind	Untersuchung der Memfetch Dump-files

pfenum	Untersucht freigegebene Speicherbereiche

procenum	Listet auch versteckte Prozesse im Speicher auf

taskenum	Zeigt Speicherinformationen zu Prozessen an

Untersuchung Registry

Fix-w9x-lnk	checks links for missing stupig flags

inicat	Reads .ini files

inidiff	show differences between dumps

iniedit	edit .ini files

Gen-app-changes	creates differnce to original installed .inis (W95)

regdiff	show differences between dumps

regedit	Registry Dumper

regfilter	Registry Dumper

reghexprint	Untersuchung von Registry-Dump-Files

reglookup	Untersuchung des Registry-Files

reglookup-timeline	Untersuchung des Registry-Files

regsort	Untersuchung von Registry-Dump-Files

regtool	Registry Dumper, to SQL-statements

Untersuchung Timeline

ftimes	Untersuchung der Topografie und Attributen von Dateien und Verzeichnissen

istat	Zeigt Details von Metadatenstukturen an

mac-robber	Erstellt Zeitleiste von Mac-Files

Zeitline	Importiert Events von verschiedenen Systemen oder Netzwerken und ordnet diese einer oder verschiedenen Zeitlienien ein.

Untersuchung Web

dumpAutoComplete	Auslesen des Firefox AutoComplete Informationen

mork	Auslesen der Firefox-Historie

demork	Formatiert MorkFile -> XML

pasco	Analysiert MS InternetExplorer Cache

Untersuchung Windows

antiword	Lesen und konvertieren von MS Word Dateien

fccu-docprop	Untersuchung von OLE Files (MS OFFICE .doc und .xls)

vinetto	Untersuchung von Thumbnail Files