Wir stellen ein neues Werkzeug vor, das unsere Produktpalette erweitert. Elcomsoft Quick Triage (EQT) ist eine Forensic-Triage-Lösung, die für die schnelle Datenerfassung vor Ort und die Erstanalyse von Windows-Systemen entwickelt wurde. Obwohl es kein Ersatz für umfassende Forensic-Suites ist, konzentriert sich EQT auf Geschwindigkeit und Relevanz und ermöglicht es Ermittlern, die wichtigsten Artefakte innerhalb von Minuten statt Stunden zu verarbeiten.

Elcomsoft Quick Triage arbeitet sowohl auf laufenden Systemen als auch auf extern angeschlossenen Speichergeräten. Festplatten-Images werden derzeit unterstützt, wenn sie als Laufwerksbuchstabe eingebunden sind; die native Unterstützung für gängige Forensic-Image-Formate wie E01 wird aktiv entwickelt.

Das primäre Designziel von Elcomsoft Quick Triage ist eine maximale Erfassungs- und Analyseschwindigkeit mit minimalem operativen Aufwand. Das Werkzeug zielt auf Daten ab, die in den frühen Phasen einer Untersuchung oder bei der Triage vor Ort am wertvollsten sind, und ermöglicht es Prüfern, schnell den Beweiswert einzuschätzen und fundierte Entscheidungen zu treffen, ohne lange Verarbeitungszeiten.

Unterstützte Beweistypen

Das Werkzeug erfasst eine breite Palette von Datenquellen im Zusammenhang mit System- und Benutzeraktivitäten, darunter Kommunikationsdaten (wie Instant-Messenger-Datenbanken), E-Mail-Datenbanken, Benutzerdokumente und Foto-Bibliotheken sowie Registry- und Dateisystemdaten. Diese Quellen werden in ihrer ursprünglichen Form extrahiert – zum Beispiel als binäre Messenger-Datenbanken und native Outlook-Datendateien – und im Beweiscontainer für die anschließende eingehende Untersuchung erhalten.

Aus den gesammelten Daten verarbeitet Elcomsoft Quick Triage eine ausgewählte Teilmenge zu forensischen Artefakten, die in einer indexierten, sofort durchsuchbaren Datenbank gespeichert werden, auf die direkt über die EQT-Oberfläche zugegriffen werden kann. Die forensisch bedeutsamsten Artefakte werden indexiert, einschließlich Benutzerkommunikation und Produktivitätsdaten wie durchsuchbare Outlook-E-Mail-Nachrichten mit Anhängen und Microsoft Office-Dokumenten, wobei die originalen Quelldateien optional im Container erhalten bleiben.

EQT verarbeitet auch Beweise für Benutzeraktivitäten, darunter kürzliche Anwendungsnutzung, zuletzt aufgerufene Dateien und Ordner sowie andere vom Benutzer initiierte Systemaktionen, die bei der Erstellung von Zeitachsen und Verhaltensmustern helfen. Dazu gehören Webaktivitäten (Browserverlauf), Windows-Registry-Daten und SRUM-Informationen (System Resource Usage Monitor), die Einblicke in die Anwendungsausführung, Ressourcennutzung und Systeminteraktionen über die Zeit geben. Darüber hinaus verarbeitet EQT systembezogene Informationen wie Hardware-Konfiguration, Betriebssystemdetails und gespeicherte Windows-Anmeldeinformationen.

Schnelle Datenanalyse

Alle erfassten Daten werden in einer einzelnen Containerdatei auf Basis des offenen VHDX-Formats gespeichert und durch zusätzliche Metadaten ergänzt. Der resultierende Container kann später manuell oder mit forensischen Drittanbieter-Tools untersucht werden.

Während der Erfassung führt EQT eine On-the-Fly-Indexierung durch, die eine nahezu sofortige Suche über die gesammelten Daten ermöglicht. Mehrere Extraktionen können zu einem einzigen Fall zusammengefasst werden, was die Beweisführung über mehrere Systeme oder Erfassungssitzungen hinweg vereinfacht.

Elcomsoft Quick Triage unterstützt den Datenexport. Eine automatisierte Berichterstattung ist noch nicht verfügbar, ist aber im Rahmen der laufenden Entwicklung geplant. EQT wird aktiv weiterentwickelt, wobei eine erhebliche Erweiterung der Funktionen für zukünftige Versionen geplant ist.

Elcomsoft Quick Triage ist für Forensik-Spezialisten, Strafverfolgungsbeamte und digitale Forensik-Experten gedacht, die während Feldoperationen eine schnelle und effiziente Triage-Lösung für Windows-basierte Systeme benötigen.