CSI: Brisbane.exe

Der australische Doktorand Andrew Marrington hat laut Pressemitteilung seiner Universität in Brisbane eine Anwendung entwickelt, mit der Kriminalermittler sichergestellte PCs automatisch nach Hinweisen auf Straftaten durchsuchen können. Statt mühevoll Datei für Datei auf belastende Inhalte abzuklopfen, sollen die Forensiker mit Hilfe von Marringtons Software binnen einiger Stunden automatisch die auf dem Rechner gelaufenen Aktivitäten rekonstruieren und in einen zeitlichen Zusammenhang stellen können. Laut Pressemitteilung liefert das Programm danach eine Zusammenfassung über gelöschte und versteckte Dateien, darüber, wer den Rechner benutzt und hat und welche Anwendungen aufgerufen worden sind, Downloads von illegalen Inhalten, Versuche, E-Mails mit gefälschtem Absender zu verschicken, oder die Manipulation von Logdateien. Anhand dieser Hinweise sollen die Computer-Forensiker anschließend gezielt nach konkreten Beweisen suchen können.

Wie 2007 auf der Asia Pacific Information Technology Security Conference umrissen (PDF), baut Marrington auf die automatisierte Analyse von Log-Dateien und den Abgleich zusammengehöriger Einträge aus unterschiedlichen Prozessen, etwa seitens des Betriebssystems und seitens laufender Anwendungen sowie auf Schlussfolgerungen, dass bestimmte Ereignisse nur als Folge früherer, womöglich undokumentierter Geschehnisse vorstellbar sind. Der 2007 vorgestellte Prototyp des Programms sammelt seine Erkenntnisse in einer MySQL-Datenbank; über die mittlerweile als fertig gemeldete Anwendung ist noch keine detaillierte Beschreibung zugänglich. (hps)