| FOTO | AUTO | EDV | AUDIO |

Anleitung: Forensische Untersuchung eines Guymager-Images mit NirLauncher

Diese Seite beschreibt Schritt für Schritt, wie ein mit Guymager erstelltes Image (.E01 oder .dd) unter Windows mittels NirLauncher-Tools untersucht werden kann. Dabei werden forensische Best Practices (Integrität, Dokumentation, Chain-of-Custody) berücksichtigt.

1. Überblick

Ziel: - Guymager erstellt ein forensisches Image (bitgenau, .E01 oder .dd). - NirLauncher ist eine Sammlung portabler Windows-Tools (NirSoft). - NirLauncher kann keine Images direkt öffnen → daher muss das Image read-only gemountet werden. - Danach können die Tools wie auf einem normalen Laufwerk (C:, D:, G: …) eingesetzt werden.

Phasen:

  1. Image-Integrität prüfen
  2. Image read-only mounten
  3. Untersuchung mit NirLauncher-Tools
  4. Ergebnisse exportieren & hashen
  5. Abschlussbericht & sauberes Unmounten

2. Vorbereitung

  • Arbeitsumgebung: dedizierte Forensic-Workstation oder VM
  • Tools:
    1. NirLauncher (offiziell von NirSoft)
    2. FTK Imager (oder Arsenal Image Mounter, OSFMount)
    3. Hash-Tool (PowerShell, certutil, sha256sum)
  • Ordnerstruktur (Beispiel):

``` 

  D:\Cases\CASE-20250918-001\
     originals\
     working\
     exports\
     tools\
     logs\
  ```
* Protokoll anlegen: Case-ID, Ersteller, Datum, Quelle, Genehmigung

3. Integritätsprüfung

  • Berechne Hashes der Originaldateien (SHA256, ggf. auch MD5/SHA1)
  • Dokumentiere Ergebnis in Chain-of-Custody-Protokoll
  • Beispiel PowerShell:

```powershell 

  Get-FileHash -Path "E:\evidence\case01.E01" -Algorithm SHA256
  Get-FileHash -Path "E:\evidence\case01.E02" -Algorithm SHA256
  ```
* Prüfe, dass alle Segmente (.E01, .E02 …) vollständig sind  
* Prüfe E01-Metadaten (z. B. mit `ewfinfo` oder FTK Imager)

4. Image-Kopie

  • Arbeite niemals am Original
  • Kopiere Image nach *working*-Ordner und verifiziere Hash
  • Dokumentiere Datum, Zielpfad, Hash

5. Image mounten

Variante: FTK Imager

  1. Starte FTK Imager (als Administrator)
  2. Menü: File → Image Mounting
  3. Wähle Image (.E01 oder .dd)
  4. Mount Type: Physical & Logical
  5. Mount Method: Read-Only (Block Device)
  6. Klicke Mount
  7. Merke dir die zugewiesenen Laufwerksbuchstaben (z. B. G:, H:)

Alternativen

  1. Arsenal Image Mounter
  2. OSFMount
  3. Linux: `ewfmount` + `mount`

6. Analyse mit NirLauncher

Starte `NirLauncher.exe`. Wähle bei allen Tools Advanced Options → Load from external profile/directory, um die Pfade im gemounteten Laufwerk (z. B. G:\) anzugeben.

6.1 Browser & Internet

  • BrowsingHistoryView → Browserverlauf (CSV/HTML exportieren)
  • BrowserAddonsView → Liste installierter Add-ons
  • WebBrowserPassView / ChromePass → gespeicherte Passwörter (nur mit DPAPI-Schlüsseln oder Benutzerpasswort möglich)
  • ChromeCookiesView / ChromeCacheView → Cookies, Cache

6.2 Benutzer & Systeminformationen

  • UserProfilesView → Benutzerprofile, letzte Anmeldungen
  • LastActivityView → Chronologie von Aktivitäten
  • WinPrefetchView → Prefetch-Einträge (Programmausführungen)
  • InstalledProgramsView → Liste installierter Programme

6.3 Registry & Konfiguration

  • RegistryChangesView → Vergleich von Registry-Snapshots
  • RegScanner → Suche nach Run-Keys oder verdächtigen Registry-Einträgen
  • Wichtige Hives:
    1. `G:\Windows\System32\config\SYSTEM`
    2. `SOFTWARE`, `SAM`, `SECURITY`
    3. Benutzer: `G:\Users\<Name>\NTUSER.DAT`

6.4 Netzwerk & WLAN

  • NetworkInterfacesView → Alle jemals verbundenen Adapter
  • WirelessKeyView → gespeicherte WLAN-Schlüssel (DPAPI-abhängig)

6.5 Dateisystem & Suche

  • SearchMyFiles → Suche nach Dateien mit Zeitstempel, Größe, Inhalt
  • Typische Artefakte: *.lnk, *.pst, *.ost, verdächtige .exe

6.6 Lizenz- & Keys

  • ProduKey → Windows-/Office-Keys aus externem Windows-Verzeichnis

7. Exporte & Dokumentation

  • Für jedes Tool: Ergebnisse als CSV/HTML exportieren
  • Dateien nach Konvention benennen:

``` 

  CASEID_Device_Artifact_Tool_YYYYMMDDTHHMMSS.csv
  ```
* Hash der Exportdatei berechnen und protokollieren:
  ```powershell
  Get-FileHash -Path "D:\Cases\...\exports\history.csv" -Algorithm SHA256
  ```
* Screenshots nur als Ergänzung nutzen (nicht manipulationssicher)

8. Vertiefte Analyse (außerhalb NirSoft)

  • MFT-Analyse: MFTECmd, AnalyzeMFT
  • Timeline: Plaso / log2timeline
  • Carving: bulk_extractor, scalpel
  • Malware-Analyse: YARA, Sandbox
  • Memory-Forensik: Volatility (falls Dump vorhanden)

9. Abschluss

  • Report erstellen (Executive Summary, Methodik, Ergebnisse, IOCs)
  • Evidenzverzeichnis (Dateinamen + Hashes) beilegen
  • FTK Imager → Unmount ausführen
  • Chain-of-Custody aktualisieren

10. Checkliste

  1. [ ] Original-Image gehasht & dokumentiert
  2. [ ] Arbeitskopie erstellt & verifiziert
  3. [ ] Image read-only gemountet
  4. [ ] NirLauncher-Kategorien durchgearbeitet (Browser, User, Registry, Netzwerk, Filesystem)
  5. [ ] Alle Exporte gespeichert, gehasht, dokumentiert
  6. [ ] Vertiefte Analysen durchgeführt (MFT, Timeline, Carving)
  7. [ ] Abschlussbericht erstellt
  8. [ ] Image unmounted, Chain-of-Custody geschlossen

Hinweise

  • Viele NirSoft-Tools werden als Riskware erkannt → Nutzung nur in isolierter VM/Forensic-Workstation
  • DPAPI-Abhängigkeit beachten: Ohne Benutzerpasswort/SYSTEM-Hive sind manche Secrets nicht lesbar
  • NirSoft-Resultate sind gut für Triage; für gerichtsfeste Gutachten: ergänzend Autopsy, X-Ways, EnCase nutzen

nirlauncher_guymager_forensik_playbook.pdfroot@woody:/var/www/data/pages/esv/forensik#