Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS LogFile auslesen?

Frage Microsoft Windows Systemdateien

Mitglied: Allyfied

Allyfied (Level 1) - Jetzt verbinden

28.04.2011 um 16:14 Uhr, 5142 Aufrufe, 5 Kommentare

Wie kann man die NTFS $LogFile auslesen, um bestimmte Dateiaktionen nachzuvollziehen?

Hallo Leute,

ich stehe vor einem kleinem Problem. Auf einem PC wurden in mühevoller Arbeit einige Grafiken erstellt und noch nicht gesichert. Am nächsten Tag waren die Grafiken gelöscht und es konnten nur noch einige davon wieder hergstellt werden. Der Rest muß neu erstellt werden, die Kosten dafür soll derjenige zahlen, der die Dateien gelöscht hat. Soweit, so gut, aber...

Es kommen 3 Kollegen in Frage, die mit diesem PC arbeiten. Keiner von Ihnen gibt das Löschen zu. Wenn man nun die Uhrzeit des Löschvorgangs herausfinden könnte, dann wäre die Zuordnung jedoch eindeutig.

Imho speichert Wndows derlei Informationen in der $LogFile. Wie liest man diese aus? Wer kann ein Programm dafür empfehlen (egal ob Freeware oder Bezahlprogramm)?

Klar es gibt IT-Forensiker für sowas, aber bei Preisen um die 2000€ macht das keinen Sinn für so eine Kinderei...
Mitglied: G.Wallenstein
28.04.2011 um 21:26 Uhr
Hallo,

schon mal in Betracht gezogen, das die Files vielleicht nur verschoben wurden.

Gruß
Günter
Bitte warten ..
Mitglied: Allyfied
28.04.2011 um 21:38 Uhr
nee, ist nicht verschoben. Vermutlich wurde über den Papierkorb gelöscht.

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: 99045
28.04.2011 um 21:59 Uhr
Hi,

soweit mir bekannt ist, kann man mit normalen Mitteln die NTFS-Systemdateien, die mit einem $-Zeichen beginnen, nicht auslesen.
Mit einigen Diskeditoren, die direkten Zugriff auf die Partition haben, könntest du evtl. weiterkommen, aber mit welchen, weiß ich nicht.

Vielleicht hilft dir der Thread (letzter Beitrag) in einem anderen Forum bei zukünftigen Überwachungsanforderungen.

Gruß
Bitte warten ..
Mitglied: Allyfied
29.04.2011 um 06:48 Uhr
Guten Morgen,
ich habe mal mit DiskExplorer in die MFT reingeschaut. Aber da verstehe ich nur Bahnhof, es fehlt schlicht eine richtige Aufbereitung der Daten.
Aber nicht so wichtig; wie wir gestern abend feststellten, wurden auch diverse Programme deinstalliert. Und dafür gibt es die Logdateien im Temp-Ordner zur Genüge inkl. Datum und Uhrzeit der jeweiligen Deinstallationen. Es ist schon ein Ding, wenn in einer halben Stunde sämtlicht CAD-Anwendungen vom System geworfen werden. Da hatte der Mitarbeiter wohl verdammt schlechte Laune...

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: n.o.b.o.d.y
29.04.2011 um 10:37 Uhr
Hallo,

was ich nicht verstehe, wenn die Dateien noch nicht abgespeichert wurden, wie willst Du dann auf dem LW-Spuren davon finden? Und wenn der Anwender das Recht hatte die Anwendungen zu deinstallieren, hat der Admin was im Rechtekonzept falsch gemacht....
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Ereignisanzeige ID 55 NTFS Fehler welche Platte (4)

Frage von Fruehling2017 zum Thema Windows Server ...

Festplatten, SSD, Raid
gelöst Windows 7 Pro x64 Key aus einer (fast) kaputten HDD auslesen (7)

Frage von carbon1X zum Thema Festplatten, SSD, Raid ...

Batch & Shell
gelöst Zeiten in .txt datei auslesen und Differenz berechnen (14)

Frage von meex87 zum Thema Batch & Shell ...

Batch & Shell
Dateigröße und Änderungsdatum auslesen (6)

Frage von michi-ffm zum Thema Batch & Shell ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Batch & Shell
Skripterstellung Lehrling (22)

Frage von 133119 zum Thema Batch & Shell ...

Exchange Server
Microsoft Exchange Weiterleitung mit anderer primären E-Mail Adresse (14)

Frage von Rene12345 zum Thema Exchange Server ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Devolo DLAN 500 pro Wireless+ (13)

Frage von IceAge zum Thema LAN, WAN, Wireless ...