Sysinternal suite

[sandor]

Het gebruiken van de Sysinternal suite wordt regelmatig gedaan door een digitaal onderzoeker bij live onderzoeken, er zijn enkel een paar problemen bij deze suite. Ik zal ze hier even opnoemen:
1. Er zijn statische en dynamische tools, dit wil zeggen dat sommige tools register sleutels van windows nodig heeft om het te gebruiken hierdoor wordt het te onderzoeken station verandert en wanneer dit niet heel nauwkeurig genoteerd wordt kan dit bewijs ongeldig verklaard worden door de tegenpartij.
2. Elke tool moet je steeds apart uitvoeren, dit kan wel verholpen door een eigengemaakt perl script.

Deze suite is voor de rest heel handig omdat hier onder andere een programma listdll bij zit die alle dll bestanden laat zien die op dat moment in gebruik zijn. er zijn ook tools die bijvoorbeeld een gehele samenvatting van je systeem maken, wanneer dit in een perl script verwerkt wordt raad ik aan om het commando tree te gebruiken, wanneer je dit commando in het cmd.exe uitvoert onder C:\ zal deze de gehele partitie laten zien met alle submappen deze kun je weer weg laten schrijven in een bestand om het later te herzien, dit gebeurt met het volgende command:
tree > tree_command.txt tree_command.txt is het bestand dat ik hier aanmaak waarnaar de informatie wordt weggeschreven.

Als je de suite zelf wilt uitproberen deze is te downloaden vanaf: To view this link please Register

Veel plezier ermee en als er vragen over zijn stel ze gerust op het forum.

Groeten,
Sander

[libris]

De sysinternals suite staat ook op de pagina van de website. To view this link please Register Vooral het verslag is handig om te kijken welke programma's welke DLL's gebruiken. Bij het digitaal onderzoeken is het namelijk belangrijk om te weten wat er gebruikt wordt van het systeem wat je aan het onderzoeken bent

Groeten