Elcomsoft Quick Triage

Elcomsoft Quick Triage hilft, in den frühen Phasen einer Untersuchung – ob vor Ort oder im Labor – schnell die kritischsten Daten aus einer Vielzahl von Quellen auf einem Windows-PC zu extrahieren und zu analysieren.

  • Schnelle Erfassung und Analyse kritischer Beweise
  • Detaillierte Systeminformationen, Benutzeraktivitäten und Nutzungsmuster
  • Globale Suche über ausgewählte Datenkategorien
  • Passwörter aus Dutzenden von Webbrowsern und E-Mail-Clients
  • Browserverlauf und Suchanfragen
  • Benutzerkommunikation, E-Mails, Dokumente und Bilder, extrahiert und in einem einzigen offenen Container gespeichert

Unterstützt: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; alle Windows Server-Versionen; SAM/SYSTEM und Active Directory

Common license $ 799
Jetzt kaufen

Elcomsoft Quick Triage für schnelle Erstanalyse

Elcomsoft Quick Triage ist ein Werkzeug, das entwickelt wurde, um schnell die wichtigsten Beweise von einem Zielcomputer oder einer Ziel-Festplatte zu extrahieren und zu analysieren. Es ist gleichermaßen effektiv bei Einsätzen vor Ort und in Laborumgebungen und hilft Ermittlern, in den frühesten Stadien einer Untersuchung fundierte Entscheidungen zu treffen.

Elcomsoft Quick Triage konzentriert sich darauf, die forensisch wertvollsten Daten von Windows-Systemen zu extrahieren. Es deckt hunderte von Quellen ab und priorisiert dabei Artefakte, die für Untersuchungen im Frühstadium kritisch sind. Das Werkzeug zielt auf Beweise ab, die helfen, schnell Schlüsselfragen zu beantworten: Wie wurde ein System genutzt, von wem, wann und zu welchem Zweck. Es verarbeitet Daten vom Betriebssystem selbst sowie von einer breiten Palette beliebter Anwendungen, die Informationen über Benutzeraktivitäten, Kommunikation, Dateihandhabung, angeschlossene Geräte und Netzwerknutzung enthalten können.

Daten und Artefakte

Mit Elcomsoft Quick Triage können Ermittler schnell gespeicherte Passwörter, Browserverlauf und Benutzeraktivitäten des aktuell angemeldeten Kontos überprüfen, Daten aus anderen Benutzerprofilen auf demselben System untersuchen und Beweise analysieren, die in eingebundenen Festplatten-Images enthalten sind. Das Produkt konzentriert sich auf Geschwindigkeit, Relevanz und Benutzerfreundlichkeit und nicht auf eine erschöpfende Analyse.

Das Werkzeug unterstützt hunderte von Systemartefakten, die es Ermittlern ermöglichen, Zeitachsen und Systemverhalten zu rekonstruieren. EQT extrahiert und analysiert Windows-Ereignisprotokolle, Prefetch, Shimcache, SRUM, Taskplaner-Daten, Anwendungsausführungs-Spuren, Absturzberichte und andere Systemprotokolle. Diese Artefakte geben Einblick in Programmstarts, Hintergrundaktivitäten und die allgemeine Systemnutzung. Das Werkzeug hilft festzustellen, ob externe Geräte verwendet wurden, indem es Informationen über angeschlossene USB-Speichergeräte, Drucker, Monitore und andere Hardware sammelt.

Elcomsoft Quick Triage sammelt und verarbeitet eine breite Palette benutzerzentrierter Beweise. Das Werkzeug extrahiert Dokumente und Dateien aus Benutzerordnern, Listen zuletzt verwendeter Dateien, Papierkorb-Inhalte und Artefakte, die alltägliche Benutzeraktionen widerspiegeln. Es verarbeitet Daten von Webbrowsern, einschließlich Browserverlauf, Suchanfragen und gespeicherten Zugangsdaten, sowie Daten von E-Mail-Clients und Instant Messengern.

Schließlich schenkt Elcomsoft Quick Triage Anmeldeinformationen und geschützten Daten besondere Aufmerksamkeit. Das Werkzeug extrahiert Windows-Vault-Einträge, DPAPI-bezogene Daten, kryptografische Schlüssel, Zertifikate sowie Benutzer- und System-Zugangsdaten-Speicher. Alle Artefakte werden mit klarer Quellenzuordnung und Kontext erhalten, was es Ermittlern ermöglicht, sich schnell auf die relevantesten Beweise zu konzentrieren und fundierte Entscheidungen zu treffen, ohne auf eine vollständige forensische Untersuchung warten zu müssen.

Offenes Containerformat

Das zum Speichern der erfassten Daten verwendete VHDX-Format ist ein plattformübergreifender Container, der sowohl die Dateisystemstruktur als auch zugehörige Metadaten erhält. Im Gegensatz zu vielen vergleichbaren Lösungen, die gesammelte Daten in proprietären, undokumentierten und oft verschlüsselten Formaten speichern, bewahrt EQT alle Daten in einer offenen, gut dokumentierten Form.

In einer Laborumgebung können VHDX-Container entweder in "roher" Form oder mit rekonstruierten Pfaden für jede Datenquelle eingebunden werden. Das offene und vollständig dokumentierte Containerformat ermöglicht den Zugriff auf die Daten nicht nur durch EQT selbst, sondern auch durch die Verwendung von Drittanbieter-Forensik-Tools.

Hauptmerkmale

Schnelle Erfassung wichtiger Windows-Artefakte
EQT erfasst system-, benutzer- und speicherbezogene Daten von laufenden Windows-Systemen mit aktiver Benutzersitzung sowie von extern angeschlossenen Festplatten und eingebundenen Datenträgern.

Zusammenführung von Beweisen aus mehreren Quellen
Ähnliche Artefakte wie Browserverlauf, Zugangsdaten und Kommunikationsdaten werden automatisch zusammengeführt, auch wenn sie von verschiedenen Festplatten oder Computern desselben Benutzers stammen.

On-the-Fly-Indexierung und globale Suche
Die wertvollsten Daten werden on-the-fly indexiert, was schnelle Suchen in Dokumenten, E-Mail-Daten, Textdateien und anderen extrahierten Artefakten ermöglicht.

Zeitachsenfilterung und Aktivitätsanalyse
Artefakte mit Zeitstempeln können nach Datum und Uhrzeit gefiltert werden, um Ereigniszeitachsen zu rekonstruieren. EQT verarbeitet Anwendungsstarts, Dateizugriffe, Webaktivitäten, Kommunikationsereignisse und andere Benutzeraktionen.

Integrierter Text- und Binärdateibetrachter
Das Werkzeug enthält einen integrierten Betrachter für Text- und Binärdateien mit Unterstützung für Schlüsselwort- und Hexadezimalsuchen.

Artefakt-Zuordnung und Quellenverfolgung
Jedes Artefakt behält Informationen über seine ursprüngliche Quelle, einschließlich Dateipfad und Herkunft. Ermittler können sofort zur Quelldatei im Beweiscontainer springen.

Einzelner Beweiscontainer
Alle extrahierten Daten werden in einem einzigen Container gespeichert, der auf dem offenen VHDX-Format mit zusätzlichen Metadaten basiert. Dies vereinfacht Speicherung, Transfer und Folgeanalysen.

Windows-Passwort-Angriffe
EQT enthält integrierte Fähigkeiten für Windows-Passwortangriffe und unterstützt Wörterbuch-, Masken-, Hybrid- und Brute-Force-Angriffe, um schwache oder häufige Passwörter schnell zu identifizieren. Passwort-Hashes können im .pwdump-Format exportiert werden, um nachfolgende Angriffe in Elcomsoft Distributed Password Recovery durchzuführen.

Datenexport
Der Export in das Adobe PDF-Format wird unterstützt.

Speicherabbild-Erstellung
Elcomsoft Quick Triage kann ein Speicherabbild (Memory Dump) eines laufenden Systems erstellen, was die Analyse flüchtiger Daten während Live-Untersuchungen ermöglicht.

Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Wir haben unten nur einige der hunderte unterstützten Artefakte aufgelistet.

Systemartefakte (Dateisystem)

  • Daten von Drittanbieter-Anwendungen
  • Active Directory-Daten
  • Amcache, Shimcache
  • Program Compatibility Assistant
  • SRUM (System Resource Utilization Monitor)
  • Papierkorb
  • Geplante Tasks
  • Windows-Ereignisse, Windows Prefetch, Windows Error Reporting
  • WLAN-Netzwerkkonfigurationen und gespeicherte Passwörter
  • Windows-Suchdatenbank
  • DPAPI, System-Zugangsdaten, Vault, kryptografische Schlüssel und Zertifikate
  • System-Registry (Registrierungsdatenbank)
  • Windows-Benachrichtigungen
  • Verschiedene Protokolle

Systemartefakte (Registry)

  • Liste ausgeführter Programme
  • Liste jemals angeschlossener Bluetooth-Geräte, Monitore, ACPI-Geräte und PCI/SCSI/USB-Geräte
  • Informationen über Akku, BIOS, CPU, andere Hardware, Speichergeräte und RAM
  • Installierte Microsoft Office-Anwendungen und Add-Ons
  • Vollständige Netzwerkkonfiguration
  • Liste der vom Windows Store installierten Anwendungen
  • Nutzungsstatus: Ortungsdienste, Mikrofon und Webcam
  • Liste installierter Treiber, Updates, Treiberpakete, laufender Dienste und DLL-Bibliotheken
  • Liste der System-Standardprogramme zum Öffnen von Dateien
  • Liste der Aufgaben im Taskplaner
  • Pfade zu erlaubten Dateien in „Kontrollierter Ordnerzugriff“
  • Windows Defender- und Windows Firewall-Daten

Benutzerartefakte (Dateisystem)

  • Daten und Protokolle von Drittanbieter-Anwendungen
  • Microsoft Office-Anwendungsdaten
  • ActivitiesCache
  • Benachrichtigungen
  • Absturzsicherungsdateien (Crash Dumps)
  • Dateien in Desktop-/Dokumente-/Downloads-/Videos-Ordnern
  • RDP-Cache
  • Papierkorb
  • Zuletzt verwendete Dateien
  • Windows Mail-/Kalender-/Telefon-/Kontakte-Datenbanken
  • Benutzerzugangsdaten, Vault, kryptografische Schlüssel und Zertifikate
  • Benutzer-Registry (Registrierungsdatenbank)
  • Browserdaten (Chrome und alle Chromium-basierten Browser, Microsoft Edge, Mozilla usw.)

Benutzerartefakte (Registry)

  • Liste jemals an den Computer angeschlossener Geräte (Smartphones, Tablets usw.)
  • Microsoft Office-Benutzerregistrierungsinformationen
  • Liste der kürzlich mit Microsoft Office-Anwendungen geöffneten Dateien
  • Liste der Programme, die zum Starten konfiguriert sind
  • Nutzungsstatus: Ortungsdienste, Mikrofon und Webcam
  • Liste der Benutzer-Standardprogramme zum Öffnen von Dateien
  • Taskleiste-Daten: Liste angehefteter Anwendungen, Rechtsklick-Aktionen, Anwendungswechsel
  • Liste der über Dateidialoge geöffneten oder gespeicherten Dateien, zuletzt verwendete Dateien, kürzlich ausgeführte Befehle
  • Liste der in Datei-Explorer durchgeführten Suchen
  • Benutzername des zuletzt angemeldeten Benutzers
  • Liste kürzlich erstellter Archivnamen
Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Systemanforderungen

Windows

  • Windows 10
  • Windows 11

Elcomsoft Quick Triage unterstützt Windows-basierte Systeme. Im Labor wird das Werkzeug auf der Arbeitsstation des Prüfers installiert; für den Feldeinsatz ist eine portable Version verfügbar.

Testversion Einschränkungen

Die Exportfunktion ist in der Testversion der Software nicht verfügbar.

Versionshinweise

Elcomsoft Quick Triage v.2.0.158

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Introducing Elcomsoft Quick Triage
Elcomsoft Endbenutzer Lizenzvereinbarung

Elcomsoft Quick Triage kaufen

Common license
$ 799
Jetzt kaufen