Unter die Haube geschaut

Spurensuche mit speziellen Windows-Tools

Praxis & Tipps | Praxis

Will DEFT nicht booten, ist die Festplatte verschlüsselt oder man hat schlicht keine Lust auf Linux-Frickelei, kommt die Tool-Sammlung DART zur Rettung: Diese ebenfalls auf der DVD enthaltenen Programme laufen ohne Installation direkt unter Windows und fördern viele spannende Informationen zutage.

Das Digital Advanced Response Toolkit – kurz DART – ist eine Sammlung von hochspezialisierten Tools, die ein laufendes Windows analysieren. Man kann sie direkt von DVD starten, wenn diese mit der roten Beschriftung „Forensik“ nach oben im Laufwerk liegt. Am einfachsten startet man dazu zunächst das Menü-Programm dart.exe.

Vorab jedoch eine Warnung: Manche Antiviren-Programme schlagen Alarm, wenn sie die DART-Tools sehen. Das hat zumindest eine gewisse Berechtigung. Wenn nämlich ein Programm wie WirelessKeyView, das die von Windows gespeicherten WLAN-Passwörter ausliest, ohne Ihr Wissen auf dem PC gelandet ist, dann geht da wahrscheinlich etwas Böses vor sich. Die Tools sind jedoch gut untersucht und es gibt keine Hinweise darauf, dass sie über den dokumentierten Einsatzzweck hinaus heimliche Zusatzfunktionen aufweisen, die einen Trojaner-Vorwurf begründen. Es besteht also kein Grund zur Panik – Sie können diese Warnung ignorieren und die Tools ohne Gefahr benutzen. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Weitere Bilder

  • Wer den Computer wann genutzt hat, rekonstruiert WinLogOnView auch im Nachhinein recht genau.
  • Die scheinbar gut als Videos getarnten Truecrypt-Container lassen sich leicht aufspüren.
  • BulletPassView fördert die gespeicherten, aber von Windows nur verknödelt dargestellten Passwörter im Klartext zu Tage.

Kommentare

Anzeige