NetworkMiner ist ein Network Forensic Analyse Tool (NFAT) für Windows. NetworkMiner kann primär als passiver Netzwerk-Sniffer eingesetzt werden. Ebenfalls kann das Tool Operating Systeme, Sessions, Hostnames, Offen Ports, etc. erkennen. NetworkMiner kann auch PCAP-Dateien für eine Offline Analyse auswerten. So können auch komplette Browser-Sessions inklusive Bilder und Videos aufgezeichnet und Offline ausgewertet werden. Zusätzlich besteht auch die Möglichkeit Dateien welche übertragen werden, mitzuschneiden.Anders als Wireshark legt NetworkMiner nicht den Schwerpunkt auf die Darstellung der einzelnen Pakete, sondern darauf die Kommunikation als Gesamtes darzustellen. Der Reiter “Credentials” findet man z.B. die Login-Daten von unverschlüsselten FTP-Verbindungen oder PHP-Session-IDs. Eben alles was so zu Authentifizierung gehört.
Im Network Forensik Analyse Bereich sind ausserdem die Tools Wireshark und Netwitness nicht zu vergessen:
- Wireshark (Download unter: http://www.wireshark.org/download.html)
- NetWitness Investigator (Download unter: http://download.netwitness.com/download.php?src=DIRECT)
(Abbildung: NetworkMiner)
(Abbildung: NetworkMiner)
Comments (0)
Die Hardware Forensik-Firma 
In der Computer-Forensik werden Images meist im Advanced Forensic Format (AFF) oder Expert Witness Format (EWF) gespeichert. Zur Konvertierung dieser Formate dient das Linux-Tool xmount. Dieses Tool legt virtuelle Images in Mount-Points an. Diese virtuellen Images können von KVM, QEMU oder anderen Virtualisierungslösungen verwendet werden. xmount nutzt dazu das Filesystem in Userspace (FUSE). xmount steht als Debian-/Ubuntu-Paket zur Verfügung. Weiterhin kann dieses Tool aus den Quellen kompiliert werden.
