Scannen

Um den Scanner benutzen zu können muss zuerst ein Fall mit dem "Create Case"-Button angelegt werden.


Sie können nun fallspezifische Informationen eingeben, welche auch in generierten Berichten verwendet werden.

Im nächsten Schritt müssen Sie angeben, wo nach Anwendungen gesucht werden soll. In diesem Beispiel wurde das "Program Files"-Verzeichnis ausgewählt.

Falls "Deep Scan" ausgewählt wurde wird von jeder Programmdatei (e.g. *.exe, *.jar, *.dll) ein MD5-Hashwert berechnet und mit der internen Datenbank abgeglichen.




Nach Betätigten des "Start Examination"-Buttons beginnt der Scanprozess. Während des Scanprozesses wird das aktuell bearbeitete Verzeichnis unterhalb des Ergebnisfensters angezeigt.

Nach Beenden des Scanprozesses wird eine Übersicht über gefundenen Anwendungen angezeigt. In diesem Beispiel wurden 4 P2P-Anwendungen und 1 Usenet-Client (beide datenbankenverifiziert) gefunden. Zusätzlich wurde eine P2P-Anwendung gefunden, welche vorab definierten Suchkriterien entsprach, aber keinen Eintrag in der internen PeerLab-Datenbank besitzt.

Die Ergebnisse des Scanprozesses sind im Ergebnisfenster zu sehen. In diesem Beispiel war der Dateiname von Shareaza "Email-Client.exe". Wegen des aktivierten "Deep Scan" wurde von der Exe-Datei ein MD5-Hashwert berechnet und mit der internen Datenbank abgeglichen. Eine Übereinstimmung des Hashwertes mit einem Eintrag der internen Datenbank identifizierte die Anwendung als Shareaza.

Die Ergebnisse werden in der Falldatei abgespeichert. Mit dem "Generate Report"-Button kann ein Bericht erstellt werden. Ein Bericht könnte wie folgt aussehen:

(c) 2020 Kuiper Forensics