DART 2.0 – Digital Advanced Response Toolkit – eine Forensik- und Analyse-Toolsammlung

Das Titelthema der (mittlerweile nicht mehr) aktuellen c’t: „Das verrät Ihr PC“. Auf der DVD enthalten ist sowohl die große Toolsammlung DART 2.0 als auch das bootbare Forensik Linux System DEFT. Das Paket aus beiden Produkten steht auch hier als Download bereit.
Das habe ich mir mal angeschaut.

DART 2.0 startet mit einem übersichtlichen Launcher, der Zugriff auf alle Tools gibt und diese kategorisch sortiert und listet. Alle Tools sind sofort startbar, entweder als Admin oder als aktueller User.
dart-2.0-forensik-toolbox-launcher

Aquire

„Aquire“ enthält die Unterkategorien „Burn“, „Copy“ und „Image“. In diesen stecken verschiedenste Tools wie DeepBurner, ForensicCopy, TeraCopy, FastCopy, DumpIt, RamCapture, PZenDump und mehr. Diese überspringe ich jetzt mal, das ist weniger spannend.

Data Recovery

Das Menü „Data Recovery“ enthält die Tools Undelete-360, PhotoRec und TestDisk. Die letzten beiden Tools sind Kommandozeilenbasiert, die 64bit Version stürzte auf meinem PC ab und die 32bit hatte Probleme auf meine Partitionen zuzugreifen. Auch so ist das eine sehr dürftige Auswahl an den reich verfügbaren Recovery Freewares, die es so gibt.

Forensics

Das „Forensics“ Menü ist in die Kategorien „Browser“, „E-Mail“, „Encryption“, „File“, „Hashing“, „Instant Messaging“, „Peer to Peer“ und „Windows Forensics“ aufgeteilt.

Browser:
Mit fast 30 Tools lässt sich so ziemlich jedes Browser Detail analysieren. Vom Verlauf über Cookies, Cache bis hin zu den Favouriten lässt sich alles auslesen und anzeigen. (Hinweis: Passwort-Angelegenheiten kommen in einer extra Kategorie weiter unten)
dart-2.0-forensik-toolbox-browser

Encryption:
Die vier enthaltenen Tools können sowohl verschlüsselte Dateien, Depots als auch ganze versteckte und verschlüsselte Partitionen erkennen und Informationen (Algorithmus, Größe, Signatur usw.) anzeigen. Da ich keine verschlüsselten Daten direkt auf meinem PC habe, kann ich hier auch nicht viel zeigen.
dart-2.0-forensik-toolbox-encryption

File:
Fünf Tools analysieren Datei- und Ordnereigenschaften. Die Ordneranalyse-Tools sind ziemlich nutzlos, schaut lieber in das Menü „Incident Resp.“ -> „System Info“, dort findet ihr TreeSize Free, welches wesentlich besser Partitionen und Ordnerbäume untersucht und grafisch anzeigt.
dart-2.0-forensik-toolbox-file

Hashing:
Enthält 4 Tools zum Erstellen, Vergleichen und Exportieren von Hashes.
dart-2.0-forensik-toolbox-hashing

Instant Messaging:
Die 4 Tools analysieren die Spuren und Nachrichten von Skype, Windows Live Messenger, ICQ und Yahoo Messenger; wer auch immer letztere noch nutzen mag 😉 Da ich nur Skype habe und das praktisch nicht nutze, zeige ich hier nur die 2 Skype Tools. Diese listen alle Kontakte und ihre Nachrichten mit zusätzlichen Informationen auf. Erstaunlich, dass Skype immernoch nicht die Kommunikationsdaten schützt sondern sie in einer normalen, lesbaren Datenbank liegen lässt…
dart-2.0-forensik-toolbox-messenging

Windows Forensics:
Diese Unterkategorie hat noch einmal 2 Unterkategorien: „Registry“ und „Printer Spooler“. Insgesamt befinden sich fast 50 Tools in dieser Kategorie. Diese analysieren die Registry, Druckjobs, Verknüpfungen, Prefetch Dateien, verschiedenste Logdateien des Systems (bei Abstürzen des Systems oder von Programmen), Datenstreams, Windows Aktionen (geöffnete Dateien, Programme) und vieles mehr. Komischerweise findet sich hier auch ein Programm namens MyLastSearch, welches die Suchanfragen der üblichen Browser listet. Dieses müsste eigentlich eher in die „Browser“ Kategorie.
dart-2.0-forensik-toolbox-windows-forensics

Peer to Peer:
Die sechs Tools bieten verschiedene Funktionen um Daten der Programme Limewire, Frostwire, Gigatribe und eMule zu analysieren. Da ich keinerlei P2P Programme besitze, kann ich hier auch nichts zeigen.

E-Mail:
Die fünf enthaltenen Programme ermöglich das Auslesen und Reparieren von Mail-Client-Datenbanken (Outlook, Thunderbird, Windows Mail). Außerdem zeigen sie Anhänge und Statistiken dieser Datenbanken gesondert an. Da ich keinerlei E-Mail Programme installiert habe, kann ich das hier nicht weiter zeigen.

Incident Response

Das Menü bietet ein paar Tools für Antivirenmaßnahmen und Systemanalyse. Die Kategorien „Antivirus“ und „System Info“ bieten über 30 Tools daür.

Antivirus:
Standalone Antivirentools können sehr brauchbar sein, wenn man einen vermutlich verseuchten PC vor der Nase hat. Diesen sollte man dann im abgesicherten Modus ohne Netzwerktreiber starten, um keine Kommunikation der Viren nach Außen zu ermöglichen. Damit ist aber auch das Herunterladen und Aktualisieren von Antivirensoftware verbaut. Fertig installierte Antivirenprogramme lösen das erste Problem. Nach ersten Scans könnte man den PC auch mit Internet starten und danach die Tools aktuelle Definitionen laden lassen, um noch einmal alle Scans laufen zu lassen. Die 2 enthaltenen Programme ClamWin und aswMBR bieten diese Updatefunktionalitäten an.
Die anderen Tools der Kategorie untersuchen Prozesse, Systemdateien, Booteinträge und weitere infizierbare Orte nach typischen Eigenschaften von Rootkits und Malware.

dart-2.0-forensik-toolbox-antivirus-definitions dart-2.0-forensik-toolbox-antivirus-scan

System Info:
Mit der Unterkategorie „Running Processes“ helfen die Tools Prozesse, Partitionen, Systemeigenschaften, Hard- und Software zu analysieren.
dart-2.0-forensik-toolbox-system-info

Networking

Wie der Name schon sagt finden sich hier Programme zum Analysieren, Mitschneiden und Manipulieren von Netzwerktraffic, Konfigurieren von Netzwerkverbindungen sowie das Untersuchen und auch Durchsuchen von Netzwerken.
dart-2.0-forensik-toolbox-networking

Password

In diesem Menü sind die Passwort-Tools der Toolsammlungen Nirsoft (30 Tools) und SecurityXploded (20 Tools) enthalten, sowie Advanced Password Recovery und Phrozen Pwd Recovery. Es gibt viele Tools zum Auslesen der lokalen Passwörter, jedoch fehlen mir Tools für einige Softwareprodukte wie die Office Programme, Archivprogrammen und Ähnliche, die oft mit Passwörtern zu tun haben.
dart-2.0-forensik-toolbox-password

Visualize

Die drei Kategorien „Graphics“, „Multimedia“ und „Office“ enthalten viele Tools wie XnView, Photo Studio, ExifDataView, Media Player Classic, VLC, InstalledCodec, SumatraPDF, Universal Viewer und ein paar Datenbankbetrachter. Besonders spannend ist das nicht.

Utility

Auch in dieser Kategorie gibt es viele wichtige aber nicht besonders spannende Tools: SearchMyFiles, 7-Zip, UniExtract, CamStudio Recorder, GSplit, Notepad++, TightVNC Viewer, Eraser, WipeDisk, USBWriteProtect.

Fazit

Wie immer bei Toolsammlungen muss man sich die einigen wenigen Tools, die wirklich gut funktionieren, gut zu bedienen sind und möglichst viel Zweck erfüllen, merken. Die Tools funktionierten teilweise ganz gut und lieferten viele Informationen, wirklich überrascht wurde ich jedoch von keinem Tool. Die meisten Informationen sind relativ basic und lassen sich – wenn auch mit wesentlich mehr Arbeit – auch aus den Programmen selbst oder mit Windows Boardmitteln auslesen.

3 Kommentare

Schreibe einen Kommentar