In der folgenden bersicht, die sich immer in der aktuellen Version auch auf der Website zum Buch computer-forensik.org findet, werden die in diesem Buch vorgestellten Werkzeuge nochmals zusammengefasst dargestellt. Eine bersicht ber alle derzeit ffentlich verfgbaren Linux-Live-CDs findet sich unter
Name | Grobfunktion | Lauffhig unter | Lizenz | URL |
AccessData FTK | Erstellen und Auswerten von Datentrger-Images, Extraktion von Daten | Windows | K, D | www.accessdata.com |
Adepto | Erstellen von Datentrger-Images | Linux | F | www.e-fense.com/helix/ |
Autopsy Forensic Browser | Auswerten von Datentrger-Images, Extraktion von Daten | Unix, cygwin | F, Q | www.sleuthkit.org/autopsy/ |
C.A.I.N.E. | Live-CD mit vielen Forensik- und Incident-Response-Werkzeugen | Boot-CD (Linux), Windows-Partition | F, Q | caine-live.net |
Captain Nemo | Auslesen diverser Dateisysteme | Windows | K, D | www.runtime.org |
Chkrootkit | Suche nach Spuren von gebruchlichen Rootkits | Unix | F, Q | www.chkrootkit.org |
Cryptcat | Um Verschlsselung ergnzte Version von Netcat | Unix, Windows | F, Q | sourceforge.net/projects/cryptcat/ |
Cygwin | Arbeitsumgebung fr die bersetzung und Verwendung von Unix-like Tools | Windows | F, Q | www.cygwin.com |
dcfldd | Erweitertes dd | Unix | F, Q | sourceforge.net/projects/dcfldd/ |
dd | Erstellung von Datentrger-Images | Unix, Windows | F, Q | users.erols.com/gmgarner/forensics/ |
DEFT | Live-CD mit vielen Forensik- und Incident-Response-Werkzeugen | Boot-CD (Linux), Windows-Partition | F, Q | www.deftlinux.net |
Disk Investigator | Analyse von Datentrgern | Windows | K, D | www.theabsolute.net/sware/dskinv.html |
EnCase | Erstellung und Auswerten von Datentrger-Images, Extraktion von Daten | Windows | K, D | www.guidancesoftware.com |
Evidor | Suche nach Zeichenketten auf Datentrgern | Windows | K | www.x-ways.net/evidor/ |
Explore2fs | Schnelles Einsehen von ext2-Partitionen | Windows | D | uranus.it.swin.edu.au/~jn/linux/ |
Ext2fs | Treiber fr den lesenden und schreibenden Zugriff auf xt2/3-Dateisysteme | Windows | F | www.fs-driver.org |
F.I.R.E. | Sammlung von Security- und Forensik-Tools, vorkompilierte Binaries fr Solaris, Linux und Windows | Boot-CD (Linux), Windows-partition | F, Q | sourceforge.net/projects/biatchux/ |
F.R.E.D. | Batchfile zum Sammeln von flchtigen Informationen | Windows | F, Q | lokale Kopie |
Fatback | Analyse von FAT-Dateisystemen | Unix | F, Q | prdownloads.sourceforge.net/projects/fatback |
FileDisk | Mounten von Datentrger-Images als Windows-Laufwerk | Windows | F, Q | www.acc.umu.se/~bosse/ |
Filemon, Regmon | Analyse von Registry-und Dateisystemzugriffen von Applikationen | Windows | F | www.sysinternals.com |
foremost | Wiederherstellung unterschiedlicher Dateiformate von Datentrger-Images | Unix | F, Q | foremost.sourceforge.net |
Forensic Acquisition Utilities | Leistungsfhige Sammlung zum Erstellen von Datentrger-Images | Windows | F, Q | users.erols.com/gmgarner/forensics/ |
Foundstone Forensic ToolKit | Sammlung von Werkzeugen fr die Analyse von Dateien | Windows | F | www.foundstone.com |
FPort | Anzeige, welche Applikationen Ports geffnet haben | Windows | F | www.foundstone.com |
Guymager | Erstellen von Datentrger-Images | Linux | F, Q | guymager.sourceforge.net |
Helix | Incident-Response-und Forensics-CD; Hybrid-CD auf Knoppix basierend mit separater Windows-Umgebung | Boot-CD (Linux), Windows partition | F | www.e-fense.com/helix/ |
iehist | Internet History Viewer | Windows | F, Q | www.cqure.net/tools.jsp?id=13 |
ImDisk Virtual Disk Driver | Festplatten-Images und Hauptsepicherkopien lassen sich als Laufwerk einbinden. | Windows NT/2000/XP/2003/Vista/2008 | F, Q | www.ltr-data.se/opencode.html/#ImDisk |
iPhone-Analyze | Auslesen und Analyse von iPhone-Backup-dateien | Java | F | sourceforge.net/projects/iphoneanalyzer/ |
IRCR | Sammeln von flchtigen Daten | Windows | F | ircr.tripod.com |
kern.pl | Identifiziert das Betriebssystem eines Windows-Speicherabbilds, Bestandteil des OS Detection Package | Windows | F, Q | sourceforge.net/project/showfiles.php?group_id=164158&package_id=203 967 |
Knoppix STD | Um Security- und Forensik-Tools erweiterte Knoppix-Distribution | Boot-CD (Linux) | F, Q | www.s-t-d.org |
KnTTools | Damit kann der Hauptspeicher von XP64, Windows2003 SP1 und Vista ausgelesen werden. | Windows | K | www.gmgsystemsinc.com/knttools/ |
Live View | Erzeugt aus DD-Images lauffhige VMware-Konfigurationen | Windows | F,Q | liveview.sourceforge.net |
LiveKd | Erzeugt Windows-Crashdumps, die sich dann forensisch analysieren lassen | Windows | F | technet.microsoft.com/de-de/sysinternals/bb897415(en-us).aspx |
Md5deep | Rekursives Erstellen und berprfen von MD5-Prfsummen | Unix, Windows | F, Q | md5deep.sourceforge.net |
Metadata Assistant | Analyse von Datenspuren in MS-Office-Dokumenten | Windows | K, D |