Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS LogFile auslesen?

Frage Microsoft Windows Systemdateien

Mitglied: Allyfied

Allyfied (Level 1) - Jetzt verbinden

28.04.2011 um 16:14 Uhr, 5153 Aufrufe, 5 Kommentare

Wie kann man die NTFS $LogFile auslesen, um bestimmte Dateiaktionen nachzuvollziehen?

Hallo Leute,

ich stehe vor einem kleinem Problem. Auf einem PC wurden in mühevoller Arbeit einige Grafiken erstellt und noch nicht gesichert. Am nächsten Tag waren die Grafiken gelöscht und es konnten nur noch einige davon wieder hergstellt werden. Der Rest muß neu erstellt werden, die Kosten dafür soll derjenige zahlen, der die Dateien gelöscht hat. Soweit, so gut, aber...

Es kommen 3 Kollegen in Frage, die mit diesem PC arbeiten. Keiner von Ihnen gibt das Löschen zu. Wenn man nun die Uhrzeit des Löschvorgangs herausfinden könnte, dann wäre die Zuordnung jedoch eindeutig.

Imho speichert Wndows derlei Informationen in der $LogFile. Wie liest man diese aus? Wer kann ein Programm dafür empfehlen (egal ob Freeware oder Bezahlprogramm)?

Klar es gibt IT-Forensiker für sowas, aber bei Preisen um die 2000€ macht das keinen Sinn für so eine Kinderei...
Mitglied: G.Wallenstein
28.04.2011 um 21:26 Uhr
Hallo,

schon mal in Betracht gezogen, das die Files vielleicht nur verschoben wurden.

Gruß
Günter
Bitte warten ..
Mitglied: Allyfied
28.04.2011 um 21:38 Uhr
nee, ist nicht verschoben. Vermutlich wurde über den Papierkorb gelöscht.

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: 99045
28.04.2011 um 21:59 Uhr
Hi,

soweit mir bekannt ist, kann man mit normalen Mitteln die NTFS-Systemdateien, die mit einem $-Zeichen beginnen, nicht auslesen.
Mit einigen Diskeditoren, die direkten Zugriff auf die Partition haben, könntest du evtl. weiterkommen, aber mit welchen, weiß ich nicht.

Vielleicht hilft dir der Thread (letzter Beitrag) in einem anderen Forum bei zukünftigen Überwachungsanforderungen.

Gruß
Bitte warten ..
Mitglied: Allyfied
29.04.2011 um 06:48 Uhr
Guten Morgen,
ich habe mal mit DiskExplorer in die MFT reingeschaut. Aber da verstehe ich nur Bahnhof, es fehlt schlicht eine richtige Aufbereitung der Daten.
Aber nicht so wichtig; wie wir gestern abend feststellten, wurden auch diverse Programme deinstalliert. Und dafür gibt es die Logdateien im Temp-Ordner zur Genüge inkl. Datum und Uhrzeit der jeweiligen Deinstallationen. Es ist schon ein Ding, wenn in einer halben Stunde sämtlicht CAD-Anwendungen vom System geworfen werden. Da hatte der Mitarbeiter wohl verdammt schlechte Laune...

Viele Grüße
Allyfied
Bitte warten ..
Mitglied: n.o.b.o.d.y
29.04.2011 um 10:37 Uhr
Hallo,

was ich nicht verstehe, wenn die Dateien noch nicht abgespeichert wurden, wie willst Du dann auf dem LW-Spuren davon finden? Und wenn der Anwender das Recht hatte die Anwendungen zu deinstallieren, hat der Admin was im Rechtekonzept falsch gemacht....
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Mit Powershell am AD Controller die aktiven Usersessions auslesen (1)

Frage von arduino zum Thema Windows Userverwaltung ...

Windows Installation
gelöst Vorinstalliertes Betriebssystem auslesen (BIOS) (14)

Frage von Yauhun zum Thema Windows Installation ...

Batch & Shell
gelöst Daten mit Mediainfo auslesen (17)

Frage von Dr.Byte zum Thema Batch & Shell ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Systemdateien
NTFS und die Defragmentierung (23)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (17)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...