Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS LogFile auslesen?

Frage Microsoft Windows Systemdateien

Mitglied: Allyfied

Allyfied (Level 1) - Jetzt verbinden

28.04.2011 um 16:14 Uhr, 5105 Aufrufe, 5 Kommentare

Wie kann man die NTFS $LogFile auslesen, um bestimmte Dateiaktionen nachzuvollziehen?

Hallo Leute,

ich stehe vor einem kleinem Problem. Auf einem PC wurden in mühevoller Arbeit einige Grafiken erstellt und noch nicht gesichert. Am nächsten Tag waren die Grafiken gelöscht und es konnten nur noch einige davon wieder hergstellt werden. Der Rest muß neu erstellt werden, die Kosten dafür soll derjenige zahlen, der die Dateien gelöscht hat. Soweit, so gut, aber...

Es kommen 3 Kollegen in Frage, die mit diesem PC arbeiten. Keiner von Ihnen gibt das Löschen zu. Wenn man nun die Uhrzeit des Löschvorgangs herausfinden könnte, dann wäre die Zuordnung jedoch eindeutig.

Imho speichert Wndows derlei Informationen in der $LogFile. Wie liest man diese aus? Wer kann ein Programm dafür empfehlen (egal ob Freeware oder Bezahlprogramm)?

Klar es gibt IT-Forensiker für sowas, aber bei Preisen um die 2000€ macht das keinen Sinn für so eine Kinderei...
Mitglied: G.Wallenstein
28.04.2011 um 21:26 Uhr
Hallo,

schon mal in Betracht gezogen, das die Files vielleicht nur verschoben wurden.

Gruß
Günter
Bitte warten ..
Mitglied: Allyfied
28.04.2011 um 21:38 Uhr
nee, ist nicht verschoben. Vermutlich wurde über den Papierkorb gelöscht.

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: 99045
28.04.2011 um 21:59 Uhr
Hi,

soweit mir bekannt ist, kann man mit normalen Mitteln die NTFS-Systemdateien, die mit einem $-Zeichen beginnen, nicht auslesen.
Mit einigen Diskeditoren, die direkten Zugriff auf die Partition haben, könntest du evtl. weiterkommen, aber mit welchen, weiß ich nicht.

Vielleicht hilft dir der Thread (letzter Beitrag) in einem anderen Forum bei zukünftigen Überwachungsanforderungen.

Gruß
Bitte warten ..
Mitglied: Allyfied
29.04.2011 um 06:48 Uhr
Guten Morgen,
ich habe mal mit DiskExplorer in die MFT reingeschaut. Aber da verstehe ich nur Bahnhof, es fehlt schlicht eine richtige Aufbereitung der Daten.
Aber nicht so wichtig; wie wir gestern abend feststellten, wurden auch diverse Programme deinstalliert. Und dafür gibt es die Logdateien im Temp-Ordner zur Genüge inkl. Datum und Uhrzeit der jeweiligen Deinstallationen. Es ist schon ein Ding, wenn in einer halben Stunde sämtlicht CAD-Anwendungen vom System geworfen werden. Da hatte der Mitarbeiter wohl verdammt schlechte Laune...

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: n.o.b.o.d.y
29.04.2011 um 10:37 Uhr
Hallo,

was ich nicht verstehe, wenn die Dateien noch nicht abgespeichert wurden, wie willst Du dann auf dem LW-Spuren davon finden? Und wenn der Anwender das Recht hatte die Anwendungen zu deinstallieren, hat der Admin was im Rechtekonzept falsch gemacht....
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Batch & Shell
gelöst Appx aus Image auslesen und entfernen (9)

Frage von Markus2016 zum Thema Batch & Shell ...

JavaScript
gelöst Dropdownfeld auslesen und mit AJAX und JS an PHP senden (7)

Frage von ITFlori zum Thema JavaScript ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...