Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS LogFile auslesen?

Frage Microsoft Windows Systemdateien

Mitglied: Allyfied

Allyfied (Level 1) - Jetzt verbinden

28.04.2011 um 16:14 Uhr, 5117 Aufrufe, 5 Kommentare

Wie kann man die NTFS $LogFile auslesen, um bestimmte Dateiaktionen nachzuvollziehen?

Hallo Leute,

ich stehe vor einem kleinem Problem. Auf einem PC wurden in mühevoller Arbeit einige Grafiken erstellt und noch nicht gesichert. Am nächsten Tag waren die Grafiken gelöscht und es konnten nur noch einige davon wieder hergstellt werden. Der Rest muß neu erstellt werden, die Kosten dafür soll derjenige zahlen, der die Dateien gelöscht hat. Soweit, so gut, aber...

Es kommen 3 Kollegen in Frage, die mit diesem PC arbeiten. Keiner von Ihnen gibt das Löschen zu. Wenn man nun die Uhrzeit des Löschvorgangs herausfinden könnte, dann wäre die Zuordnung jedoch eindeutig.

Imho speichert Wndows derlei Informationen in der $LogFile. Wie liest man diese aus? Wer kann ein Programm dafür empfehlen (egal ob Freeware oder Bezahlprogramm)?

Klar es gibt IT-Forensiker für sowas, aber bei Preisen um die 2000€ macht das keinen Sinn für so eine Kinderei...
Mitglied: G.Wallenstein
28.04.2011 um 21:26 Uhr
Hallo,

schon mal in Betracht gezogen, das die Files vielleicht nur verschoben wurden.

Gruß
Günter
Bitte warten ..
Mitglied: Allyfied
28.04.2011 um 21:38 Uhr
nee, ist nicht verschoben. Vermutlich wurde über den Papierkorb gelöscht.

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: 99045
28.04.2011 um 21:59 Uhr
Hi,

soweit mir bekannt ist, kann man mit normalen Mitteln die NTFS-Systemdateien, die mit einem $-Zeichen beginnen, nicht auslesen.
Mit einigen Diskeditoren, die direkten Zugriff auf die Partition haben, könntest du evtl. weiterkommen, aber mit welchen, weiß ich nicht.

Vielleicht hilft dir der Thread (letzter Beitrag) in einem anderen Forum bei zukünftigen Überwachungsanforderungen.

Gruß
Bitte warten ..
Mitglied: Allyfied
29.04.2011 um 06:48 Uhr
Guten Morgen,
ich habe mal mit DiskExplorer in die MFT reingeschaut. Aber da verstehe ich nur Bahnhof, es fehlt schlicht eine richtige Aufbereitung der Daten.
Aber nicht so wichtig; wie wir gestern abend feststellten, wurden auch diverse Programme deinstalliert. Und dafür gibt es die Logdateien im Temp-Ordner zur Genüge inkl. Datum und Uhrzeit der jeweiligen Deinstallationen. Es ist schon ein Ding, wenn in einer halben Stunde sämtlicht CAD-Anwendungen vom System geworfen werden. Da hatte der Mitarbeiter wohl verdammt schlechte Laune...

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: n.o.b.o.d.y
29.04.2011 um 10:37 Uhr
Hallo,

was ich nicht verstehe, wenn die Dateien noch nicht abgespeichert wurden, wie willst Du dann auf dem LW-Spuren davon finden? Und wenn der Anwender das Recht hatte die Anwendungen zu deinstallieren, hat der Admin was im Rechtekonzept falsch gemacht....
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Windows Server
gelöst NTFS-Volume - Summe aller Dateien ist deutlich geringer als Volumegrösse (4)

Frage von Augenadler zum Thema Windows Server ...

Windows Server
gelöst MS SQL Express 2008 - Wie kann ich das Logfile verkleinern? (3)

Frage von ChrisR zum Thema Windows Server ...

Microsoft
gelöst Verschlüsselungs Tool für externe NTFS Platten (9)

Frage von Hanuta zum Thema Microsoft ...

Heiß diskutierte Inhalte
Exchange Server
Test-ActiveSyncConnectivity Error nach neuem Zertifikat (17)

Frage von Driphex zum Thema Exchange Server ...

Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...