Untersuchen

Um eine Datenbank zu untersuchen müssen Sie lediglich den "Investigation-Wizard"-Button auf dem "Database-Examination"-Reiter betätigen.

Im nächsten Schritt wählen Sie die Anwendung aus, welche Sie Untersuchen wollen. In diesem Beispiel wurde eMule ausgewählt.


Emules known.met speichert viele Informationen über transferierte Daten. Wählen Sie eine known.met-Datei aus, oder ziehen Sie diese in das Dialogfenster ("drag and drap"). Drücken Sie anschliessend auf "Examine".

Die Ergebnisse werden mit den unten angegebenen Informationen angezeigt (Anmerkung: die Dateinamen und Hashwerte wurde gepixelt). Die "data-transfered"-Spalte sagt aus, wieviel Daten einer bestimmten Datei hochgeladen wurden. Die Spalte "Distribution" gibt an wieviel Prozent einer Datei, bezogen auf die Dateigröße, hochgeladen wurde.

Um zu sehen, ob eine Datei in einer Hashdatenbank vorkommt, betätigen Sie einfach den "Hashset-Matching"-Button. Alle Einträge die in einer ausgewählten Hashdatenbank vorkommen, werden in hellrot markiert:

Es ist auch möglich gewisse Zeilen (nur hochgeladene Dateien, nur Dateien mit Hashwertübereinstimmung) und Spalten (Name, Hashwert, ...) ein- bzw. auszublenden. Die angezeigte Auswahl kann in eine CSV-Datei exportiert werden, welche dann mit "OpenOffice Calc" oder "Microsoft Excel" bearbeitet werden kann.

(c) 2020 Kuiper Forensics