Anleitung: Forensische Untersuchung eines Guymager-Images mit NirLauncher

Diese Seite beschreibt Schritt für Schritt, wie ein mit Guymager erstelltes Image (.E01 oder .dd) unter Windows mittels NirLauncher-Tools untersucht werden kann. Dabei werden forensische Best Practices (Integrität, Dokumentation, Chain-of-Custody) berücksichtigt.

Ziel: - Guymager erstellt ein forensisches Image (bitgenau, .E01 oder .dd). - NirLauncher ist eine Sammlung portabler Windows-Tools (NirSoft). - NirLauncher kann keine Images direkt öffnen → daher muss das Image read-only gemountet werden. - Danach können die Tools wie auf einem normalen Laufwerk (C:, D:, G: …) eingesetzt werden.

Phasen:

1. Image-Integrität prüfen
2. Image read-only mounten
3. Untersuchung mit NirLauncher-Tools
4. Ergebnisse exportieren & hashen
5. Abschlussbericht & sauberes Unmounten

• Arbeitsumgebung: dedizierte Forensic-Workstation oder VM
• Tools:
  1. NirLauncher (offiziell von NirSoft)
  2. FTK Imager (oder Arsenal Image Mounter, OSFMount)
  3. Hash-Tool (PowerShell, certutil, sha256sum)
• Ordnerstruktur (Beispiel):

```

  D:\Cases\CASE-20250918-001\
     originals\
     working\
     exports\
     tools\
     logs\
  ```
* Protokoll anlegen: Case-ID, Ersteller, Datum, Quelle, Genehmigung  

• Berechne Hashes der Originaldateien (SHA256, ggf. auch MD5/SHA1)
• Dokumentiere Ergebnis in Chain-of-Custody-Protokoll
• Beispiel PowerShell:

```powershell

  Get-FileHash -Path "E:\evidence\case01.E01" -Algorithm SHA256
  Get-FileHash -Path "E:\evidence\case01.E02" -Algorithm SHA256
  ```
* Prüfe, dass alle Segmente (.E01, .E02 …) vollständig sind  
* Prüfe E01-Metadaten (z. B. mit `ewfinfo` oder FTK Imager)  

• Arbeite niemals am Original
• Kopiere Image nach *working*-Ordner und verifiziere Hash
• Dokumentiere Datum, Zielpfad, Hash

1. Starte FTK Imager (als Administrator)
2. Menü: File → Image Mounting
3. Wähle Image (.E01 oder .dd)
4. Mount Type: Physical & Logical
5. Mount Method: Read-Only (Block Device)
6. Klicke Mount
7. Merke dir die zugewiesenen Laufwerksbuchstaben (z. B. G:, H:)

1. Arsenal Image Mounter
2. OSFMount
3. Linux: `ewfmount` + `mount`

Starte `NirLauncher.exe`. Wähle bei allen Tools Advanced Options → Load from external profile/directory, um die Pfade im gemounteten Laufwerk (z. B. G:\) anzugeben.

• BrowsingHistoryView → Browserverlauf (CSV/HTML exportieren)
• BrowserAddonsView → Liste installierter Add-ons
• WebBrowserPassView / ChromePass → gespeicherte Passwörter (nur mit DPAPI-Schlüsseln oder Benutzerpasswort möglich)
• ChromeCookiesView / ChromeCacheView → Cookies, Cache

• UserProfilesView → Benutzerprofile, letzte Anmeldungen
• LastActivityView → Chronologie von Aktivitäten
• WinPrefetchView → Prefetch-Einträge (Programmausführungen)
• InstalledProgramsView → Liste installierter Programme

• RegistryChangesView → Vergleich von Registry-Snapshots
• RegScanner → Suche nach Run-Keys oder verdächtigen Registry-Einträgen
• Wichtige Hives:
  1. `G:\Windows\System32\config\SYSTEM`
  2. `SOFTWARE`, `SAM`, `SECURITY`
  3. Benutzer: `G:\Users\<Name>\NTUSER.DAT`

• NetworkInterfacesView → Alle jemals verbundenen Adapter
• WirelessKeyView → gespeicherte WLAN-Schlüssel (DPAPI-abhängig)

• SearchMyFiles → Suche nach Dateien mit Zeitstempel, Größe, Inhalt
• Typische Artefakte: *.lnk, *.pst, *.ost, verdächtige .exe

• ProduKey → Windows-/Office-Keys aus externem Windows-Verzeichnis

• Für jedes Tool: Ergebnisse als CSV/HTML exportieren
• Dateien nach Konvention benennen:

```

  CASEID_Device_Artifact_Tool_YYYYMMDDTHHMMSS.csv
  ```
* Hash der Exportdatei berechnen und protokollieren:
  ```powershell
  Get-FileHash -Path "D:\Cases\...\exports\history.csv" -Algorithm SHA256
  ```
* Screenshots nur als Ergänzung nutzen (nicht manipulationssicher)  

• MFT-Analyse: MFTECmd, AnalyzeMFT
• Timeline: Plaso / log2timeline
• Carving: bulk_extractor, scalpel
• Malware-Analyse: YARA, Sandbox
• Memory-Forensik: Volatility (falls Dump vorhanden)

• Report erstellen (Executive Summary, Methodik, Ergebnisse, IOCs)
• Evidenzverzeichnis (Dateinamen + Hashes) beilegen
• FTK Imager → Unmount ausführen
• Chain-of-Custody aktualisieren

1. [ ] Original-Image gehasht & dokumentiert
2. [ ] Arbeitskopie erstellt & verifiziert
3. [ ] Image read-only gemountet
4. [ ] NirLauncher-Kategorien durchgearbeitet (Browser, User, Registry, Netzwerk, Filesystem)
5. [ ] Alle Exporte gespeichert, gehasht, dokumentiert
6. [ ] Vertiefte Analysen durchgeführt (MFT, Timeline, Carving)
7. [ ] Abschlussbericht erstellt
8. [ ] Image unmounted, Chain-of-Custody geschlossen

• Viele NirSoft-Tools werden als Riskware erkannt → Nutzung nur in isolierter VM/Forensic-Workstation
• DPAPI-Abhängigkeit beachten: Ohne Benutzerpasswort/SYSTEM-Hive sind manche Secrets nicht lesbar
• NirSoft-Resultate sind gut für Triage; für gerichtsfeste Gutachten: ergänzend Autopsy, X-Ways, EnCase nutzen

nirlauncher_guymager_forensik_playbook.pdfroot@woody:/var/www/data/pages/esv/forensik#