P2P forensics
Met P2PMarshal (gratis voor law enforcement) kun je onderzoeken of iemand gebruik heeft gemaakt van peer-to-peer programma's om bestanden via het internet uit te wisselen of te downloaden. Het is een mooie tool die mijns inziens niet in je digitale toolbox mag ontbreken.
Alvorens je het programma downloadt moet je een registratiecode aanvragen. Als je je beroepsmatig met digitale opsporing bezig houdt is een registratiecode gratis. Je moet een registratiecode aanvragen via een e-mail naar register at p2pmarshal.com waarin je moet aangeven wat je werkzaamheden zijn, onder welk telefoonnummer je bereikbaar bent etc. Ik ontving mijn registratiecode enkele minuten na het aanmelden.
Als je in het bezit bent van een registratiecode kun je het programma downloaden en installeren.
Als je nu een forensische image mount onder een eigen driveletter (bijvoorbeeld met behulp van MountImage Pro of de Mount optie van Encase) dan kun je met behulp van P2PMarshal onderzoeken of gebruik is gemaakt van peer-to-peer programma's.
Ik heb zelf een test gedaan door limewire te installeren en een afbeelding te downloaden. Vervolgens heb ik P2PMarshal laten zoeken. Het programma had er geen enkele moeite mee om Limewire te vinden.
Je kunt in het overzicht onder meer zien welke softwareversies gebruikt zijn, met welke andere IP adressen verbinding is gemaakt etc.
Na mijn 'onderzoek' kon ik met P2PMarshall eenvoudig een rapport samenstellen (PDF).
Ik ga hem gelijk downloaden, ben benieuwd
Geplaatst door: Eduard | 3-5-08 om 14:01
Dat ga ik gelijk dinsdag eens proberen, ik kan wel een paar toepassingen bedenken.
Geplaatst door: Fred | 3-5-08 om 15:38
Mooi ! Laat het me weten als het niet lukt met het verkrijgen van een registratiecode. Ook als het is gelukt om de tool aan de praat te krijgen verneem ik graag wat jullie bevindingen zijn.
Geplaatst door: Mark | 3-5-08 om 21:38
Heb de code binnen, ga hem dinsdag testen
Geplaatst door: Eduard | 5-5-08 om 21:30
Ik heb het geprobeerd, en het werkt bijzonder goed. Er wordt duidelijk meer info getoond over het programma dan men via de "standaard" methode normaal ziet. Dit is zeker in die gevallen handig waar P2P programma's een rol spelen.
Geplaatst door: Fred | 7-5-08 om 14:18
Ik heb, in aanvulling op deze posting, een topic gestart in mijn tech group, http://tech.groups.yahoo.com/group/8bits-opensource
Verder discussie over P2PMarshal kan in deze besloten group worden gevoerd.
Mark
Geplaatst door: Mark | 7-5-08 om 16:07
Ik ga deze vandaag eens even proberen. Fred da's mooi dat jij al wat toegangscodes hebt.
Geplaatst door: Patrick | 8-5-08 om 5:28
Patrick, ik heb je zojuist een uitnodiging gestuurd voor de tech group, ik hoop dat je ook deel wil nemen.
http://tech.groups.yahoo.com/group/8bits-opensource
Geplaatst door: Mark | 8-5-08 om 19:26