Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS LogFile auslesen?

Frage Microsoft Windows Systemdateien

Mitglied: Allyfied

Allyfied (Level 1) - Jetzt verbinden

28.04.2011 um 16:14 Uhr, 5127 Aufrufe, 5 Kommentare

Wie kann man die NTFS $LogFile auslesen, um bestimmte Dateiaktionen nachzuvollziehen?

Hallo Leute,

ich stehe vor einem kleinem Problem. Auf einem PC wurden in mühevoller Arbeit einige Grafiken erstellt und noch nicht gesichert. Am nächsten Tag waren die Grafiken gelöscht und es konnten nur noch einige davon wieder hergstellt werden. Der Rest muß neu erstellt werden, die Kosten dafür soll derjenige zahlen, der die Dateien gelöscht hat. Soweit, so gut, aber...

Es kommen 3 Kollegen in Frage, die mit diesem PC arbeiten. Keiner von Ihnen gibt das Löschen zu. Wenn man nun die Uhrzeit des Löschvorgangs herausfinden könnte, dann wäre die Zuordnung jedoch eindeutig.

Imho speichert Wndows derlei Informationen in der $LogFile. Wie liest man diese aus? Wer kann ein Programm dafür empfehlen (egal ob Freeware oder Bezahlprogramm)?

Klar es gibt IT-Forensiker für sowas, aber bei Preisen um die 2000€ macht das keinen Sinn für so eine Kinderei...
Mitglied: G.Wallenstein
28.04.2011 um 21:26 Uhr
Hallo,

schon mal in Betracht gezogen, das die Files vielleicht nur verschoben wurden.

Gruß
Günter
Bitte warten ..
Mitglied: Allyfied
28.04.2011 um 21:38 Uhr
nee, ist nicht verschoben. Vermutlich wurde über den Papierkorb gelöscht.

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: 99045
28.04.2011 um 21:59 Uhr
Hi,

soweit mir bekannt ist, kann man mit normalen Mitteln die NTFS-Systemdateien, die mit einem $-Zeichen beginnen, nicht auslesen.
Mit einigen Diskeditoren, die direkten Zugriff auf die Partition haben, könntest du evtl. weiterkommen, aber mit welchen, weiß ich nicht.

Vielleicht hilft dir der Thread (letzter Beitrag) in einem anderen Forum bei zukünftigen Überwachungsanforderungen.

Gruß
Bitte warten ..
Mitglied: Allyfied
29.04.2011 um 06:48 Uhr
Guten Morgen,
ich habe mal mit DiskExplorer in die MFT reingeschaut. Aber da verstehe ich nur Bahnhof, es fehlt schlicht eine richtige Aufbereitung der Daten.
Aber nicht so wichtig; wie wir gestern abend feststellten, wurden auch diverse Programme deinstalliert. Und dafür gibt es die Logdateien im Temp-Ordner zur Genüge inkl. Datum und Uhrzeit der jeweiligen Deinstallationen. Es ist schon ein Ding, wenn in einer halben Stunde sämtlicht CAD-Anwendungen vom System geworfen werden. Da hatte der Mitarbeiter wohl verdammt schlechte Laune...

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: n.o.b.o.d.y
29.04.2011 um 10:37 Uhr
Hallo,

was ich nicht verstehe, wenn die Dateien noch nicht abgespeichert wurden, wie willst Du dann auf dem LW-Spuren davon finden? Und wenn der Anwender das Recht hatte die Anwendungen zu deinstallieren, hat der Admin was im Rechtekonzept falsch gemacht....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Peripheriegeräte
Kontrolliertes auslesen von Speicherkarten (2)

Frage von -s-v-o- zum Thema Peripheriegeräte ...

Batch & Shell
gelöst Batch: Textdatei Zeilenweise auslesen (2)

Frage von CreatorX zum Thema Batch & Shell ...

Batch & Shell
gelöst Logfile Unterordner (7)

Frage von michi-ffm zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Virenschutz - Meinungen (28)

Frage von honeybee zum Thema Erkennung und -Abwehr ...

Windows 10
Welches OS für Firmengeräte? (18)

Frage von MarkusVH zum Thema Windows 10 ...

Netzwerke
Abisolierwerkzeug (18)

Frage von SarekHL zum Thema Netzwerke ...

Exchange Server
SBS2011: POP3-Connector 10 MB Grenze Email Benachrichtigung (17)

Frage von bogi1102 zum Thema Exchange Server ...