"Forensische" Untersuchung

Diskutiere mit über: "Forensische" Untersuchung im Mac OS X Forum

  1. vagabond

    vagabond Thread Starter MacUser Mitglied

    Beiträge:
    236
    Zustimmungen:
    0
    Registriert seit:
    15.08.2004
    Hallo

    Eines unserer beiden Instituts-pBooks (die für alle Institutsmitglieder frei zugänglich sind) ist gerade knappe 2 Monate verschwunden gewesen, und unter mysteriösen Umständen wieder aufgetaucht (dh. plötzlich wieder im Tresor gelegen). Da uns (also vor allem dem Institutsvorstand) ein wenig an der Aufklärung dieses Verschwindens liegt habe ich jetzt die Frage an euch: Wie können wir herausfinden, wer an diesem book gearbeitet hat?

    Auf dem Teil ist nur ein Admin-account eingerichtet, den jeder verwenden kann, Safari-History wurde vollständig gelöscht, incl. Cookies etc. ebenso die verwendeten Dokumente in sämtlichen MS-Office Programmen, in der Vorschau und im Acrobat Reader. Auf dem Rechner liegen auch keine sonstigen in der relevanten Zeit veränderten Dateien herum, der Papierkorb wurde auch gelöscht.
    Achja, System ist 10.3.5.
    Gibt es unter OSX Logdateien, die Benutzerkommandos mitprotokollieren?

    Herzlichen Dank für sachdienliche Hinweise ;)

    lg
    Flo
     
  2. compifrank

    compifrank MacUser Mitglied

    Beiträge:
    2.118
    Zustimmungen:
    45
    Registriert seit:
    09.01.2003
    Starte mal das Programm Konsole, da finden sich einige Logs.
    Ich bin da aber nicht so der Fachmann.
    Ich bin mir aber sicher, hier werden sich noch einige melden. :)
     
  3. lundehundt

    lundehundt MacUser Mitglied

    Beiträge:
    19.352
    Zustimmungen:
    881
    Registriert seit:
    22.02.2003
    mit Boardmitteln wirst du da kaum was finden wenn sich der "Ausleiher" geschickt angestellt hat". Und in den System Logs steht natuerlich nicht wer den Admin account verwendet hat.

    Wenn es euch die Sache wert ist, gibtr es durchaus spezialisierte Software fuer dieses Anwendungsgebiet. EnCase Forensic laueft auch fuer HFS+ formatierte volumes

    http://www.forensicdata.ca/pages/products.php
     
    Zuletzt von einem Moderator bearbeitet: 31.10.2015
  4. maconaut

    maconaut MacUser Mitglied

    Beiträge:
    2.106
    Zustimmungen:
    132
    Registriert seit:
    24.08.2004
    Angenommen, du würdest sehen, dass da jemand mit im Internet war und z.B. jeden Tag Spiegel.de gelesen hat, außerdem im MacUserForum rumgesurft ist. Dann hat er noch ein Gedicht im Word geschrieben und 35 MP3 erzeugt... Das hilft dir alles nicht weiter, solange keine personenbezogenen Daten drau sind. Und selbst wenn - einen Brief mit irgendeiner Adresse zu tippen sollte niemandem schwer gefallen sein.

    Am einfachsten als Konsequenz - beschränkter Zugang und Herausgabe nur nach Unterschrift.

    Gruß Stefan
     
  5. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.034
    Zustimmungen:
    1.314
    Registriert seit:
    13.09.2004
    (1) Derjenige hat Zugang zum Tresor ( das würd mir mehr Sorgen bereiten)

    (2) einen Rechner, den man untersuchen möchte darf man nichtmal mehr starten.
    Abbild der HDD erstellen ( per Zweitrechner, wo die Platte nur LESEND gemounted wird) und dieses Abbild durchsuchen.
     
  6. vagabond

    vagabond Thread Starter MacUser Mitglied

    Beiträge:
    236
    Zustimmungen:
    0
    Registriert seit:
    15.08.2004
    Wir sind ca. 30 Personen hier, also zb. ein halbwegs vernünftiger Dateiname würde bereits ausreichen um den Personenkreis noch mal stark einzugrenzen.

    @lundehundt: Danke für den Link, das ganze ist eher Neugierde, wer sich hier auf der einen Seite (nämlich menschlich gesehen) so dämlich anstellt, und andererseits (technisch) doch halbwegs geschickt. Kosten soll das ganze nichts ;)

    Danke mal für die ersten Tipps ;-)

    lg
    Flo
     
  7. vagabond

    vagabond Thread Starter MacUser Mitglied

    Beiträge:
    236
    Zustimmungen:
    0
    Registriert seit:
    15.08.2004

    Jeder hier auf dem Institut hat Zugang zu dem Tresor, ist auch der Sinn von diesem Ding, es sind darin Sachen aufgehoben, auf die jeder von uns Zugriff haben sollte, nur Aussenstehende nicht. Mittlerweile wurde auch der Zugriff darauf etwas eingeschränkt, das Problem ist aber dass auch zb die Digitalkamera, die teilweise für die Versuchsdokumentation benötigt wird, dort gelagert ist, und der Zugriff auch dann möglich sein muss, wenn keiner der Chefs anwesend ist.


    und 2) das Teil wird zum arbeiten benötigt :( dh hier geht wohl Schnelligkeit vor Genauigkeit...

    Ich habe jetzt mal Data Rescue X gestartet, mal schaun ob das irgendetwas sinnvolles findet.
    Wenn nicht, und es noch irgendeine Möglichkeit gibt, mit Bordmitteln interessantes rauszufinden bin ich auch für weitere Tips noch sehr dankbar.

    lg
    Flo
     
  8. ctopfel2

    ctopfel2 MacUser Mitglied

    Beiträge:
    206
    Zustimmungen:
    6
    Registriert seit:
    29.07.2004
    Ich weiss leider nicht wie die tools heissen, aber gibt es keine, die gelöschte Dateien wiederherstelllen können? früher machte dies Norton... heute ??

    mit so einem programm könntest du evtl word dateien wiederherstellen...
     
  9. cordney*

    cordney* MacUser Mitglied

    Beiträge:
    755
    Zustimmungen:
    24
    Registriert seit:
    22.04.2003
    Schon mal in ~/Library/Caches geschaut, könnte vielleicht was dabei sein?!
     
  10. Myraculix

    Myraculix MacUser Mitglied

    Beiträge:
    463
    Zustimmungen:
    0
    Registriert seit:
    21.11.2003

    einfach fragen wers genommen hat geht scheinbar nicht, obwohl es nur 30 personen gewesen sein können ... und das in einem institut. ein chinesisches sprichwort sagt: wer menschen kennt, liebt tiere ... :(

    in meinen augen ist so eine klauerei recht kindisch, genauso wie das nachspionieren wers denn gewesen sein könnte. das soll natürlich kein vorwurf an dich sein, es ist ärgerlich wenn das arbeitsgerät verschwindet und nicht sagt wohin.

    ich würde deswegen die leute zusammenrufen und mit ihnen wie mit erwachsenen reden ... hat was mit verantwortungsbewusstsein zu tun und da spielt die erziehung und der charakter mit. das problem ist sonst nicht zu lösen, denke ich.

    das ist natürlich nur meine meinung.


    gruss
    m.
     
Die Seite wird geladen...
Ähnliche Themen - Forensische Untersuchung Forum Datum
Block-Level Kopie / Forensische 1 zu 1 Kopie einer Festplatte Mac OS X 21.01.2013

Diese Seite empfehlen

Benutzerdefinierte Suche