Elcomsoft Quick Triage

Elcomsoft Quick Triage hilft, am Anfang einer Untersuchung – ob vor Ort oder im Labor – schnell die entscheidenden Daten aus einer Vielzahl von Quellen auf einem Windows-PC zu extrahieren und zu analysieren.

  • Schnelles Erfassen und Analysieren kritischer Beweise
  • Detaillierte Systeminformationen, Benutzeraktivitäten und Nutzungsmuster
  • Globale Suche innerhalb bestimmter Datenkategorien
  • Passwörter aus Dutzenden von Webbrowsern und E-Mail-Clients
  • Browserverlauf und Suchanfragen
  • Benutzerkommunikation, E-Mails, Dokumente und Bilder, extrahiert und in einem einzigen offenen Container gesichert

Unterstützt: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; alle Windows Server-Versionen; SAM/SYSTEM und Active Directory

Common license $ 799
Jetzt kaufen

Elcomsoft Quick Triage für schnelle Erstanalyse

Elcomsoft Quick Triage ist ein Werkzeug, das entwickelt wurde, um schnell die wichtigsten Beweise von einem Zielcomputer oder einer Ziel-Festplatte zu extrahieren und zu analysieren. Es ist sowohl bei Einsätzen vor Ort als auch bei Nutzung von bereits gesicherten Daten in Laborumgebungen hilfreich und effektiv. Es ermöglicht Ermittlern bereits ganz zu Beginn der Ermittlungen fundierte Entscheidungen zu treffen.

Elcomsoft Quick Triage konzentriert sich darauf, die forensisch wertvollsten Daten von Windows-Systemen zu extrahieren. Es greift auf Hunderte von Quellen zu und priorisiert dabei Daten, die für Untersuchungen im Frühstadium kritisch sind. Das Werkzeug zielt auf Beweise ab, die helfen, schnell Schlüsselfragen zu beantworten: Wie wurde ein System genutzt, von wem, wann und zu welchem Zweck. Es verarbeitet Daten vom Betriebssystem selbst sowie von einer breiten Palette an Anwendungen, die Informationen über Benutzeraktivitäten, Kommunikation, Dateizugriffe, angeschlossene Geräte und Netzwerknutzung enthalten.

Daten und digitale Spuren

Mit Elcomsoft Quick Triage können Ermittler schnell hinterlegte Passwörter und Benutzeraktivitäten des aktuell angemeldeten Kontos überprüfen oder etwa auf den Browserverlauf zugreifen. Auch können Daten aus anderen Benutzerprofilen auf demselben System untersucht und analysiert werden, sofern sie auf den eingebundenen Laufwerken gespeichert sind. Die Software konzentriert sich auf Geschwindigkeit, Relevanz und Benutzerfreundlichkeit und nicht auf eine erschöpfende Analyse.

Das Werkzeug unterstützt hunderte von digitalen Spuren, die es Ermittlern ermöglichen, Zeitachsen und Systemverhalten des Nutzers zu rekonstruieren. EQT extrahiert und analysiert Windows-Ereignisprotokolle, Windows Prefetch, Shimcache, SRUM, Aufgabenplaner, Spuren der Anwendungsausführung, Absturzberichte und andere Systemprotokolle. Diese Artefakte geben Einblick in Programmstarts, Hintergrundaktivitäten und die allgemeine Systemnutzung. Das Werkzeug hilft festzustellen, ob externe Geräte verwendet wurden, indem es Informationen über angeschlossene USB-Speichergeräte, Drucker, Monitore und andere Hardware sammelt.

Elcomsoft Quick Triage bündelt und verarbeitet eine breite Palette Beweise, die im Zusammenhang mit dem Nutzer des Systems stehen. Die Software extrahiert Dokumente und Dateien aus Benutzerordnern, Listen zuletzt verwendeter Dateien, Papierkorb-Inhalte und Artefakte, die alltägliche Benutzeraktionen widerspiegeln. Es verarbeitet Daten von Webbrowsern, einschließlich Browserverlauf, Suchanfragen und gespeicherten Zugangsdaten, sowie Daten von E-Mail-Clients und Instant Messengern.

Besondere Aufmerksamkeit gilt den Anmeldeinformationen und geschützten Daten. Elcomsoft Quick Triage extrahiert Windows-Vault-Einträge, DPAPI-bezogene Daten, kryptografische Schlüssel, Zertifikate sowie Benutzer- und System Credential Stores. Bei allen Artefakten bleiben Quellenzuordnung und Kontext klar erhalten, was es Ermittlern ermöglicht, sich schnell auf die relevantesten Beweise zu konzentrieren und fundierte Entscheidungen zu treffen, ohne auf eine vollständige forensische Untersuchung warten zu müssen.

Offenes Containerformat

Das zum Speichern der erfassten Daten verwendete VHDX-Format ist ein plattformunabhängiger Container, der sowohl die Dateisystemstruktur als auch zugehörige Metadaten speichert. Im Gegensatz zu vielen vergleichbaren Lösungen, die gesammelte Daten in proprietären, undokumentierten und oft verschlüsselten Formaten speichern, bewahrt EQT alle Daten in einer offenen, gut dokumentierten Form.

In einer Laborumgebung können VHDX-Container entweder "nativ" oder mit rekonstruierten Pfaden für jede Datenquelle eingebunden werden. Das offene und vollständig dokumentierte Containerformat ermöglicht den Zugriff auf die Daten nicht nur durch EQT selbst, sondern auch durch die Verwendung von Drittanbieter-Forensik-Tools.

Features

Schnelle Erfassung wichtiger Windows-Artefakte

EQT erfasst system-, benutzer- und speicherbezogene Daten von laufenden Windows-Systemen des angemeldeten Nutzers sowie von extern angeschlossenen Festplatten und eingebundenen Datenträgern.

Zusammenführung von Beweisen aus mehreren Quellen

Ähnliche digitale Spuren wie Browserverlauf, Zugangsdaten und Kommunikationsdaten werden automatisch zusammengeführt, auch wenn sie von verschiedenen Festplatten oder Computern desselben Benutzers stammen.

On-the-Fly-Indizierung und globale Suche

Die wichtigsten Daten werden on-the-fly indiziert, was eine schnelle Suche in Dokumenten, E-Mail-Daten, Textdateien und anderen extrahierten Artefakten ermöglicht.

Zeitachsenfilterung und Aktivitätsanalyse

Artefakte mit Zeitstempeln können nach Datum und Uhrzeit gefiltert werden, um Timelines zu rekonstruieren. EQT verarbeitet Anwendungsstarts, Dateizugriffe, Webaktivitäten, Kommunikationsereignisse und andere Benutzeraktionen.

Integrierter Text- und Binärdateibetrachter

EQT enthält einen integrierten Betrachter für Text- und Binärdateien mit Unterstützung für Schlüsselwort- und Hexadezimal-Suche.

Datenzuordnung und Quellverfolgung

Jedes Artefakt behält Informationen über seinen ursprünglichen Speicherort, einschließlich Dateipfad und Herkunft. Ermittler können sofort zur Quelldatei im Beweiscontainer springen.

Einzelner Beweiscontainer

Alle extrahierten Daten werden in einem einzigen Container gespeichert, der auf dem offenen VHDX-Format mit zusätzlichen Metadaten basiert. Dies vereinfacht Speicherung, Transfer und Folgeanalysen.

Windows-Passwort-Angriffe

EQT enthält integrierte Fähigkeiten für Windows-Passwortangriffe und unterstützt Wörterbuch-, Masken-, Hybrid- und Brute-Force-Angriffe, um schwache oder häufige Passwörter schnell zu identifizieren. Passwort-Hashes können im .pwdump-Format exportiert werden, um nachfolgende Angriffe in Elcomsoft Distributed Password Recovery durchzuführen.

Datenexport

Daten können als Adobe PDF exportiert werden.

Speicherabbild-Erstellung

Elcomsoft Quick Triage kann ein Speicherabbild (Memory Dump) eines laufenden Systems erstellen, was die Analyse flüchtiger Daten während Live-Untersuchungen ermöglicht.

Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Wir haben unten nur einige der hunderte unterstützten Datentypen aufgelistet.

Digitale Beweise des Dateisystems

  • Daten von Drittanbieter-Anwendungen
  • Active Directory-Daten
  • Amcache, Shimcache
  • Program Compatibility Assistant
  • SRUM (System Resource Utilization Monitor)
  • Papierkorb
  • Aufgabenplanung
  • Windows-Ereignisse, Windows Prefetch, Windows Error Reporting
  • WLAN-Netzwerkkonfigurationen und gespeicherte Passwörter
  • Windows-Suchdatenbank
  • DPAPI, System-Zugangsdaten, Windows Vault, kryptografische Schlüssel und Zertifikate
  • Windows Registry
  • Windows Benachrichtigungen
  • Weitere Protokolle

Digitale Beweise aus der Registry

  • Liste ausgeführter Programme
  • Liste jemals angeschlossener Bluetooth-Geräte, Monitore, ACPI-Geräte und PCI/SCSI/USB-Geräte
  • Informationen über Akku, BIOS, CPU und weiterer Hardware, Speichergeräte und RAM
  • Installierte Microsoft Office-Anwendungen und Add-Ons
  • Vollständige Netzwerkkonfiguration
  • Liste der vom Windows Store installierten Anwendungen
  • Nutzungsstatus: Ortungsdienste, Mikrofon und Webcam
  • Liste installierter Treiber, Updates, Treiberpakete, laufender Dienste und DLL-Bibliotheken
  • Liste der System-Standardprogramme zum Öffnen von Dateien
  • Liste der Aufgaben im Taskplaner
  • Pfade zu erlaubten Dateien im „Kontrollierten Ordnerzugriff“
  • Windows Defender- und Windows Firewall-Daten

Nutzerspuren im Dateisystem

  • Daten und Protokolle von Drittanbieter-Anwendungen
  • Microsoft Office-Anwendungsdaten
  • ActivitiesCache
  • Benachrichtigungen
  • Absturzsicherungsdateien (Crash Dumps)
  • Dateien in Desktop-/Dokumente-/Downloads-/Videos-Ordnern
  • RDP-Cache
  • Papierkorb
  • Zuletzt verwendete Dateien
  • Windows Mail-/Kalender-/Telefon-/Kontakte-Datenbanken
  • Benutzerzugangsdaten, Vault, kryptografische Schlüssel und Zertifikate
  • Benutzer-Registry (Registrierungsdatenbank)
  • Browserdaten (Chrome und alle Chromium-basierten Browser, Microsoft Edge, Mozilla usw.)

Nutzerspuren in der Registry

  • Liste aller jemals an den Computer angeschlossenen Geräte (Smartphones, Tablets usw.)
  • Microsoft Office-Registrierung
  • Liste der kürzlich mit Microsoft Office-Anwendungen geöffneten Dateien
  • Liste der Programme, die zum Starten konfiguriert sind
  • Nutzungsstatus: Ortungsdienste, Mikrofon und Webcam
  • Liste der Benutzer-Standardprogramme zum Öffnen von Dateien
  • Daten der Taskleiste: Liste angehefteter Anwendungen, Rechtsklick-Aktionen, Anwendungswechsel
  • Liste der über Dateidialoge geöffneten oder gespeicherten Dateien, zuletzt verwendete Dateien, kürzlich ausgeführte Befehle
  • Liste der im Explorer durchgeführten Suchen
  • Benutzername des zuletzt angemeldeten Benutzers
  • Liste kürzlich erstellter Archivnamen
Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Systemanforderungen

Windows

  • Windows 10
  • Windows 11

Elcomsoft Quick Triage unterstützt Windows-basierte Systeme. Im Labor wird die Software auf dem Arbeitsplatz des Prüfers installiert; für den Einsatz auf dem System vor Ort ist eine portable Version verfügbar.

Testversion Einschränkungen

Die Exportfunktion ist in der Testversion der Software nicht verfügbar.

Versionshinweise

Elcomsoft Quick Triage v.2.0.158

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Elcomsoft Quick Triage kaufen

Common license
$ 799
Jetzt kaufen