Stefan Depping

Aus IT-Forensik Wiki

Bachelor Thesis, Hochschule Wismar, Juni 2020

Autor: Stefan Depping

Titel: Bewertung der Nutzbarkeit von „PowerForensics“-Funktionen im Vergleich zu anderen branchenüblichen, freien Toolkits

Abstrakt: Jedes moderne Windows 10 enthält mittlerweile die PowerShell als Befehlszeilenshell mit eigener Skriptumgebung. Die weite Verbreitung und der große Funktionsumfang der PowerShell legen nahe, sie für die Erstellung von Skripten zur forensichen Auswertung von Systemen zu nutzen. Das von Jared Atkinson entwickelte PowerShell Modul PowerForensics bietet eine umfangreiche Erweiterung um Funktionen zur Datenträgeranalyse für die PowerShell an.

In dieser Bachelor-Thesis wird getestet, inwiefern PowerForensics tatsächlich für die forensische Analyse von Windows Systemen geeignet ist. Dazu wird mit Hilfe von Referenztools überprüft, ob das Modul zuverlässig Ergebnisse von guter Qualität liefert. Abweichungen der mit PowerForensics erzielten Ergebnisse von den Ausgaben der Referenztools werden untersucht.

Die Analyse des Moduls hat ergeben, dass PowerForensics eine Vielzahl von Möglichkeiten zur forensischen Analyse von Windowssystemen bietet, diese aber wegen Fehlern im Programmcode und nicht mehr stattfindender Wartung nur eingeschänkt genutzt werden können.

Abstract:

Every modern Windows 10 includes PowerShell as a command-line shell with its own scripting environement. The wide diffusion and great amount of functions suggest to utilize PowerShell for the creation of scripts for forensic system-analysises. The PowerShell module PowerForensics (developed by Jared Atkinson) offers an extensive extension for PowerShell to forensically analyze hard drives. This Bachelor-Thesis tests how far PowerForensics is a suitable tool for forensic analyses of Windows systems. By comparison with reference tools it is assessed whether the module returns high quality results reliably. Differences between the results from PowerForensics and the reference tools will be investigated. The examination of the module shows that PowerForensics provides a lot of functions to forensically analyze Windows systems. However, the usability of the module is limited due to the termination of maintenance and development efforts such as some programming errors.

Download PDF-Dokument