Disk Forensik/ Beweismittelanalyse/ ILook
Aus Wikibooks
Kapitel:
ILook Investigator wurde ursprnglich von Elliot Spencer entwickelt, der es mittlerweile an den Internal Revenue Service der USA abgegeben hat. ILook läuft auf Windows Betriebssystemen und ist ein Werkzeug für eine umfassende forensische Untersuchung. Das Programm ist zwar kostenlos erhältlich, allerdings ausschließlich für Personen im Bereich der Computerforensik, welche zustzlich noch bei einer der folgenden Institutionen beschftigt sind:
- Strafverfolgungsbehörde
- Staatlicher Geheimdienst
- Militär (im Bereich Kriminalität oder Spionageabwehr)
- Staatliche oder regulierende Behörde im Bereich der Strafverfolgung
Insbesondere wird die Ausgabe an Forschungseinrichtungen explizit untersagt. Dies sind sehr starke Einschränkungen die eine weite Verbreitung des Programms verhindern. Ähnlich sieht es auch mit Informationen über dieses Programm aus. Es existiert keine offizielle öffentliche Diskussionsmglichkeit, auf ein internes Message-Board ist der Zugriff nur mit Anmeldung möglich, die den gleichen Auagen wie denen des Programmes entsprechen.
Analysierbare Systeme
Ilook unterstützt die Analyse von folgenden Dateisystemen:
- FAT12
- FAT16
- FAT32
- FAT32x
- VFAT
- NTFS
- NTFS Compressed
- HFS
- HFS+
- Ext2FS
- Ext3FS
- ReiserFS 1,2,and 3
- SysV-AFS
- SysV-EAFS
- SysV-HTFS
- NWFS
- NWFS Compressed
- VMWare Drive Mount Disk Drives
- MS VPC Virtual Disks
- CDFS CD Format
- ISO 9660 CD Format
- ISO 9660 File Format
- UDF CD Format
Suchfunktion
Ilook bietet Suchfunktionen, mit denen nach allokierten sowie nicht allokierten Dateien, Dateityp (nach Signatur oder Erweiterung) und Schlüsselwörtern gesucht werden kann. Die Suche unterstützt auch komprimierte Zip Dateien.
