Home

KaZAlyser Handbuch Version 1.1.0

image

Contents

1. Upkions General Dates Hash Matching Renos p Daa Fommali j meone j E dimmi yy Cires from GMT ma daln RER db inbena file times GMT TUTT local file imes polls eolumnet sur onm X corea In diesem Dialog geht es darum wie Datumswerte angezeigt und in KaZAlyser interpretiert werden Date Format Zur Zeit verwendet KaZAlyser nur amerikanische und englische Datumsformate TimeZone Sie k nnen zwei Zeitzonen w hlen Die Zeitverschiebung wird sowohl auf Datums und Zeitwerte angewendet die in der KaZaA Datenbank gespeichert sind als auch auf Datums und Zeitwerte in freigegebenen Ordnern Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 30 43 KaZAlyser Handbuch Version 1 1 0 Hash Matching ipt tams Verwenden Sie diese Einstellungen um festzulegen wie mit Dateien in Gemeinsame Dateien und anderen Ordnern verfahren wird beim Versuch sie gegen Dateien in einer dbb Datenbank abzugleichen Diese Option kontrolliert wie eine Dateienvergleich durchgef hrt wird wenn Add file date and time option verwendet wird Ignore duplicate entries in source dbb Falls ausgew hlt stoppt KaZ Alyser die Vergleichssuche f r die aktuelle Datei bei der ersten Hashwert bereinstimmung in der Datenbank Verify that file name in source dbb is same as local file Wenn diese Option gew hlt ist wird eine Datei nur dann angezeigt wenn sowohl Hashwert als auch
2. FilelImport Encase registry export aus dem Men und navigieren Sie zu dem Ordner in dem sich die zuvor extrahierten Registry Eintr ge befinden KaZAlvyser wird alle Registry Schl ssel laden und anzeigen Verschl sselte Werte z B die Suchschl ssel werden entschl sselt und im Klartext angezeigt Regedit Exporte Extrahieren Sie mit Hilfe eines geeigneten Werkzeugs die Registry Datei und navigieren Sie zu dem gew nschten Schl ssel exportieren Sie den Registry Schl ssel und die Unterschl ssel entweder im Version 4 oder Version 5 kompatiblen Format Importieren Sie die resultierende Datei in KaZ Alyser ber den Men punkt Filellmport registry keys Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 27143 Hashwerte KaZAlyser wird mit einen kleinen Bibliothek bekannter Kinderpornografie Hashwert ausgeliefert Um diese Bibliothek zu erweitern stellt KaZAlyser drei Hash Funktionen zur Verf gung Generate hash on single file Diese Option erzeugt einen einzelen KaZaA MD5 Hashwert aus den ersten 300 KB der ausgew hlten Datei der Hashwert wird in der Textbox unter dem Hashes Register angezeigt Generate hash on contents of folder Diese Option erzeugt den KaZaA Hashwert f r alle Dateien des ausgew hlten Ordners Generate hash on contents of tree Diese Option erzeugt den KaZaA Hashwert f r alle Dateien des ausgew hlten Ordners und alle seine Unterordner Nachdem Sie einen
3. Dateien freigegeben 1 304 44 ner gen 13 039 582 fie 2 371 904 G O meda Bike gen Unter diesen Umst nden ist es vermutlich schwierig f r den Beschuldigten abzustreiten dass er sie sich bewusst war dass auf seinem ihrem Computer Dateien f r andere Benutzer verf gbar waren Sist bri Mp Kaz a al Thas e e 3 LES Emosi Dar ber hinaus gibt es eine andere Bildschirmmaske im FastTrack Client mit dem Namen My KaZaA oder entsprechend f r Grokster und FileShare die Details ber die Dateien zeigt die auf dem Benutzercomputer freigegeben sind egal wo sich diese auf der Maschine befinden Diese Maske ist nach Dateitypen unterteilt und zeigt durch verschiedene Icons f r jede Datei grafisch an sH Sofra KH H iala rane welche gerade freigegeben ist und welche nicht In der RF Fi a i Beispielabbildung rechts hat der Benutzer 67 Dateien fir My Flecommendation freigegeben davon sind 41 Musikdateien 3 Software und N 23 Videodateien Das Videoverzeichnis ist ge ffnet und Ea Image zeigt die Details f r diese Dateien Ei Ghe ka ia Uploads berwachen und kontrollieren Falls Dateien auf dem Benutzerrechner zum Tausch vorhanden sind und die Freigabe eingeschaltet ist ist es wahrscheinlich dass Uploads von dieser Maschine stattfinden Wenn dies passiert werden Details dieser Uploads in der unteren H lfte der Traffic Bildschirmmaske in der gleichen Weise angezeig
4. Dateiname bereinstimmen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 31 43 Reports Gonad Daten Hash Matching Fiepartz FF Dipa deseiption FF iai body ol aput on psge 2 Fe Dipl aber eg enines Diese Optionen legen fest wie KaZAlyser Berichte anzeigt Display descriptions W hlen Sie dies damit KaZAlyser eine Inhaltsbeschreibung auf der Titelseite des Berichts anzeigt Start body of report on page 2 Wenn diese Option gew hlt ist beginnen die eigentlichen Berichtsdaten auf der zweiten Seite ansonsten direkt nach der Einleitung auf der ersten Seite Display abbreviated registry entries Wenn aktiviert werden die Registry Eintr ge des Processed registry Fensters ausgegeben ansonsten erscheint eine vollst ndige Auflistung aller Registry Eintr ge raw registry im Bericht Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 32 43 Wie KaZaA Daten speichert KaZaA speichert n tzliche Informationen haupts chlich an drei Stellen Dbb Dateien Dbb Dateien sind die Methode mit der KaZaA verfolgt welche Dateien aktuell freigegeben sind die dbb Datei finden Sie normalerweise im Unterordner db des KaZaA Installationsverzeichnisses Die dbb Datei ist im Grunde genommen eine Datenbank freigegebener Dateien Wenn ein Benutzer einen Ordner zur Freigabe ausw hlt legt KaZaA einen Eintrag in der dbb Datenbank f r jede Datei in diesem Or
5. dargestellt die durch drei Punkte getrennt sind Ein Beispiel k nnte 151 32 205 199 sein Jede Zahl muss im Bereich 0 bis 255 liegen Jedem Internet Service Provide ISP ist ein Bereich von IP Adressen zur Kundennutzung zugeteilt So hat z B die British Telecom einen Bereich NTL einen anderen usw Wann immer einer ihrer Benutzer eine Internetverbindung herstellt weist der ISP diesem eine IP Adresse f r die Dauer der Sitzung zu Wenn ein Benutzer die Verbindung beendet kann die IP Adresse sehr wohl einem anderen Benutzer zugewiesen werden aber eine IP Adresse kann niemals gleichzeitig an mehr als einen Benutzer vergeben sein Das Internet l sst dies einfach nicht zu ISP s protokollieren diese IP Adressen Vergaben f r eine begrenzte Zeit und k nnen sie auf Anfrage feststellen um Strafverfolgungsbeh rden bei der Aufkl rung krimineller Aktivit ten unterst tzen vorausgesetzt dass ein Rechtsersuchen vorliegt Folglich kann wenn die IP Adresse eines Computers zusammen mit der exakten Datums und Zeitangabe ermittelt wird die Kombination dieser Elemente einen Computer im Internet eindeutig identifizieren Der ISP kann Namen und Adresse dieser Person und oft weitere Informationen zur Verf gung stellen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 43 43
6. pro Zeile Offensichtlich ist es f r einen Benutzer m glich seine ihre cphash txt Datei mit zus tzlichen Hashwerten upzudaten und deshalb ist es auch m glich das die Datei cphash txt Hashwerte von Dateien enth lt die nicht illegal sind Dieses Feature sollte als Methode zum schnellen Erkennen von Dateien genutzt werden die als Kinderpornografie bekannt sind aber es sollte nicht als alleiniger Beweis daf r dienen dass es sich um eine derartige Datei handelt das hei t der Ermittler MUSS jede Datei berpr fen um sich zu vergewissern dass das Material illegal ist Au erdem sollte ein negatives Resultat dieses Filters nicht als Beweis dienen dass sich kein illegales Material in der Datenbank befindet M glicherweise Kinderpornografie Possible child pornography Dieser Filter arbeitet analog dem obigen in der Hinsicht dass er Dateien basierend auf dem Inhalt einer Ursprungsdatei filtert Die Ursprungsdatei ist in diesem Fall kp txt die sich ebenfalls im gleichen Ordner befindet wie die Programmdatei Kp txt enth lt eine Liste von Schl sselw rtern von denen bekannt ist dass sie in Dateien vorkommen die Kinderpornografie enthalten Wenn dieser Filter anwendet wird werden Die Felder Titel Schl sselw rter Dateiname Beschreibung und K nstler untersucht und wenn eine dieser Dateien in der KaZaA Datenbank eines oder mehrere dieser Schl sselw rter in der Ursprungsdatei enth lt wird der Eintrag dieser Datei hervorgehoben und
7. vergleicht sie mit der CRC die im Nachspann gespeichert ist 3 berechnet einen neuen Hashwert f r den Dateiinhalt und stellt sicher dass der neue Hashwert mit dem Hashwert im Nachspann bereinstimmt 4 Falls sie nicht bereinstimmen versucht KaZAlyser die Benutzerdaten aus dem teilweisen Nachspann Datensatz zu extrahieren Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 26 43 Das Laden der Registrierdatenbank Um die Registrierdatenbank Eintr ge einer KaZaA Installation untersuchen zu k nnen m ssen die Schl ssel der Registrierdatenbank zun chst in einer Form extrahiert werden mit der KaZAlyser etwas anfangen kann KaZAlyser versteht drei verschiedene Registryformate RegEdit 4 Exporte RegEdit 5 Exporte und Encase Exporte Encase Registry Exporte In Encase navigieren Sie zu dem relevanten Registry Zweig und w hlen File Structure aus dem Popup Men Nachdem Encase die Registry geladen und die Struktur entschl sselt hat navigieren Sie zu dem KaZaA Registryschl ssel normalerweise HKEY_CURRENT_USER Software Kazaa obwohl dies in der Encase Registry NTUSER DAT NTRegistry PROTO HIV Software Kazaa entspricht klicken Sie rechts auf den Ordnernamen und w hlen Sie copy folders F r weitere Informationen ziehen Sie das Encase Benutzerhandbuch zu Rate Nachdem die Registry Schl ssel mittels Encase extrahiert wurden m ssen wir sie in KaZ Alyser importieren W hlen Sie
8. Daten die ihren Ursprung nicht in der Datei haben d h Daten die nicht explizit innerhalb der Datei gespeichert sind werden in einer gelb gef rbten Spalte angezeigt Einige Felder enthalten mehr Informationen als sich einfach darstellen l sst Um alle Informatioen einer bestimmten Spalte zu sehen klicken Sie auf den rechten Spaltentrenner und ziehen die Trennlinie dies wird die Spaltenbreite ndern Sie k nnen jede Spalte sortieren indem Sie die Spalten berschrift anklicken Sie k nnen auch den Spaltenkopf ausw hlen und ziehen um die Spaltenreihenfolge zu ndern Verwenden Sie die Scrollbalken am unteren Bildschirmrand um Spalten anzuzeigen die nicht auf den Bildschirm passen Zum Hervorheben Markieren einer Datei von Interesse dr cken Sie die Leertaste oder klicken Sie mit der rechten Maustaste auf die Datei und w hlen Sie Tag file aus dem Kontextmen Die markierte Datei wird durch eine Auswahlmarkierung am linken Rand gekennzeichnet Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 11 43 KaZAlyser Handbuch Version 1 1 0 Das Popup Men kann ebenfalls verwendet werden alle aktuell gew hlten Dateien zu markieren die Markierungsliste umzukehren oder aufzuheben Sie k nnen Bemerkungen hinzuf gen bearbeiten indem Sie irgendwo auf dem Hauptbildschirm rechts klicken und Add Note aus dem Popup Men w hlen Schlie lich kann das Popup Men auch verwendet werden d
9. Dies durchsucht die Datenbank und zeigt nur solche Dateien an die einen Hashwert besitzen der zu einem aus der KaZAlyser Datenbank bekannter Kinderpornografie passt 2 alternativ verwenden Sie den Filter m glicherweise Kinderpornografie Dieser Filter zeigt nur die Dateien an die scheinen Kinderpornografie zu sein basierend auf Schl sselw rtern im Dateinamen der Beschreibung Schlagworten Titel Album oder K nstler Jede Methode hat ihre Vor und Nachteile w hrend der erste Filter sehr wenige oder keine Falschalarme ausgibt erkennt er keine Kinderpornografie f r die kein in der Hashwert Datenbank existiert Der Filter m glicherweise Kinderpornografie wird wahrscheinlich mehr finden aber auch eine gro e Zahl von Falschalarmen liefern Versuchen Sie beide Methoden weil sie wenig Zeit f r einen Durchlauf ben tigen und w hlen Sie den Filter der am besten passt Hinweis Es ist dem Ermittler vorbehalten zu best tigen dass irgendein Material das von KaZAlyser als Kinderpornografie identifiziert wurde tats chlich Kinderpornografie ist Ich m chte feststellen von wo der Benutzer Dateien heruntergeladen hat Hier ist an einige Bereiche zu denken Zun chst extrahieren Sie den Inhalt eines freigegebenen Ordners in einen Arbeitsordner Falls Sie Encase benutzen benutzen Sie die physical file Option der die Datei und vorhandener slack space am Ende der Datei extrahiert W hlen Sie Filelldentify source of d
10. Einf hrung ber Sanderson Forensics Sanderson Forenscis wurde Anfang 2000 als forensische Beratungsfirma gegr ndet mit dem Ziel forensische Beratungsdienste und erschwingliche effiziente Ermittlungswerkzeuge f r Strafverfolgungsbeh rden anzubieten Sanderson Forenscis verpflichtet sich diese Werkzeuge zuk nftig weiterzuentwickleln um sicherzustellen dass Ermittlungsbeh rden Ihren Aufgaben mit den besten verf gbaren Werkzeugen zu einem g nstigen Preis nachkommen k nnen Systemvoraussetzungen KaZAlvyser ist entwickelt worden f r Windows 98 NT XP ME und 2000 Pentium III oder h her 256 MB oder mehr minimale Bildschirmaufl sung 800x600 Punkte Haftungsauschluss Viele Informationen die in diesem Dokument enthalten sind wurden im Wege des Reverse Engineering gewonnen Man sollte sich deshalb nicht ohne Nachpr fung darauf verlassen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 1 43 KaZAlyser berblick KaZAlvyser ist der Nachfolger des popul ren P2PView KaZaA Morpheus Datenbankbetrachters KaZAlyser stellt signifikante Verbesserungen im Ermittlungsverfahren zur Verf gung KaZAlyser verf gt ber folgende Funktionen Alle Datenbankeintr ge in tabellarischer Form auflisten Anzeigen des Datei Integrit tsmarkers Erlaubt dem Ermittler jeden Datensatz zu markieren und zu kommentieren Identifikation von Dateien anhand Dateiname Schl sselw rter etc bei denen es sich offens
11. Fall sein dass der eine zuf llige Reihe von Buchstaben w hlt wie djdjdjdjdj Die FastTrack Software des Benutzers merkt sich diesen Benutzernamen nachdem er gew hlt und registriert wurde und verwendet ihn ab diesem Zeitpunkt automatisch wann immer die FastTrack Software aufgerufen wird Nichts davon bringt eine finanzielle Geb hr f r den Benutzer mit sich es sei denn er sie entschlie t sich dazu die FastTrack Software zu kaufen Software und Datenstruktur auf dem Computer eines Mitglieds Nehmen wir die KaZaA FastTrack Software als Beispiel wird sich der Benutzer typischerweise die Software ber einen Link auf der KaZaA Webseite http www kazaa com herunterladen Der Installationsprozess installiert die Software standardm ig unter C Programme KaZaA auf dem Computer des Benutzers Weiterhin werden zwei wichtige Unterverzeichnisse oder Ordner an dieser Stelle angelegt Eines davon hei t DB und enth lt Datenbank Dateien die die Datei Freigabe auf dem Rechner des Benutzers verwalten und ein anderer Ordner hei t My Shared Files In der Standardeinstellung wird jede Datei die der Benutzer in My Shared Files ablegt f r andere FastTrack Benutzer verf gbar gemacht wenn der Benutzer online ist d h verbunden mit dem Internet und laufender FastIrack Software Dar ber hinaus werden Dateien die der Benutzer von anderen FastTrack Clients herunterl dt standardm ig in den Ordner My Sha
12. Informationen aus ihnen gewonnen werden Sobald eine KaZaA Datenbank in KaZAlyser geladen wurde k nnen die zugeh rigen Datums und Zeitangaben aus der eigentlichen Datei zur Anzeige hinzugef gt werden Um dies tun zu K nnen m ssen die Dateien selbst auf dem untersuchten System vorhanden sein und m ssen aus dem Image in einer Weise extrahiert worden sein die Datums und Zeitstempel beibeh lt In Encase navigieren Sie z B zu My Shared Folder oder einem anderen relevanten Ordner f hren einen Rechtsklick auf dem Ordner aus und kopieren die Dateien aus dem Image stellen Sie sicher dass Sie die physische Datei extrahieren d h alle Bytes in der Datei einschlie lich des sog slack space des letzten Clusters W hlen Sie dann FilelLoad Files in KaZAlyser auf jede Datei in dem gew hlten Ordner wird zugegriffen und ein Hashwert berechnet wenn eine Datei mit einem passenden Hashwert in der Datenbank vorhanden ist dann werden f r jede passende Datei das letzte Speicher und das Erstellungsdatum der Datenbank hinzugef gt und auf dem Bildschirm angezeigt Diese Information kann zur Widerlegung von Einw nden n tzlich sein wie z B die Dateien wurden alle in einem Rutsch von einem einzelnen Benutzer heruntergeladen Bei vollst ndig heruntergeladenen Dateien macht KaZAlyser folgendes 1 sucht nach einem Nachspann im slack space jeder Datei des ausgew hlten Ordners berechnet eine neue CRC f r den Nachspann und
13. ahierten KaZaA Datenbankordners auszuw hlen Falls Sie diesen Schritt nicht ausf hren m chten w hlen Sie die Schaltfl che CANCEL Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 71143 KaZAlyser Handbuch Version 1 1 0 Als N chstes will KaZAlyser den Speicherort des KaZaA Registrierdatenbank Extraktions Baums wissen Normalerweise sollte dies mit Encase extrahiert werden wobei jeder Schl ssel als einzelne Datei vorliegt Es ist empfehlenswert den gesamten KaZaA Schl ssel zu extrahieren und KaZAlyser sollte auf den Root Eintrag zeigen d h HKEY_CURRENT_USER Software Kazaa KaZAlyser kann auch RegEdit5 Exportdaten lesen und hat RegEdit4 Exportdaten werden nur eingeschr nkt unters tzt ei rr rar u LE a era un Pury z a Lu zu Be ai W hlen Sie das Registrierdatenbank Format das Sie haben oder select no registry s to import um diesen Schritt zu berspringen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 8 43 KaZAlyser Handbuch Version 1 1 0 Der letzten Schritt besteht darin KaZAlyser den Speicherort des gemeinsamen Ordners mitzuteilen wenn es mehrere geben sollte diese Information befindet sich in der Registrierdatenbank k nnen diese zus tzlichen Ordner sp ter angegeben werden KaZaA speichert Daten wobei laufende Downloads am Ende jeder downloadxxxxxxx dat Datei ber cksichtigt werden Wenn der Download been
14. anzeigt Es ist klar dass die verwendeten Schl sselw rter nicht notwendigerweise ausschlie lich Kinderpornografie identifizieren und deshalb von diesem Filter erkannte Dateien m glicherweise irrt mlich als solche angezeigt werden Es ist deshalb unbedingt notwendig dass man dies beim Einsatz des Filters im Hinterkopf beh lt und alle von dem Filter identifizierten Dateien so lange mit Vorsicht genie t bis sie unabh ngig davon als illegal eingestuft sind Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 13 43 Berichte drucken Sie k nne auch verschiedene Berichte aus dem Reports Men drucken Berichte sind im Grunde genommen Filter deren Ausgabe an die Berichtserzeugungs Engine weitergeleitet wird Jeder Bericht ist mit einer Titelseite versehen auf die die eigentlichen Daten folgen Der Bericht wird zun chst in einem Vorschaumodus angezeigt der Benutzer kann ihn dann entweder speichern oder drucken B iE Pree Bez v r H EEKE e Mii i Papar Aa pot Apatih 2i THE TAAR EE DEA STAR ANGE BUCH I ER O NGT GE RE GD UPS ARGE PRENE EG san r Lienen a TAU a HEN Fon 27 Ip iiair iK Thi portii ge ra i rigare rhy in ie Hagi diia e aa jtappari ine Kazier ie Mr OE am sg e nn E Baer iei manie Team Pos dw vum mn Les ima bhom Fage 1o43 Die Seitennavigation wird durch die Symbole am oberen Bildschirmrand erm glicht Diese Icons haben Dieses Icon erz
15. ausgelegt den Betrieb auf Sie benutzten alle dieselbe Arbeitsmethode und dieselbe Software Die Software wurde und wird FastTrack genannt und die vier Organisationen die sie benutzten wurden unter den Namen Morpheus KaZaA Grokster und FileShare bekannt Aufgrund der Art wie diese Organisationen strukturiert sind wurden sie noch nicht gerichtlich belangt obwohl ein Verfahren rechtsh ngig ist Der Unterschied in der Struktur wird sp ter in Teil 2 erl utert Anfang 2002 kam es zu Rechtsstreitigkeiten in Bezug auf die Lizenzierung der FastTrack Clientsoftware zwischen FastIrack und dem Morpheus System Diese hatten zum Ergebnis dass die Morpheus Music City Organisation zu einer anderen nicht kompatiblen Clientsoftware namens Gnutella genauer Gnucleus wechselte und dadurch von den anderen drei Organisationen wegbrachen Die FastTrack Struktur Anstatt eines zentralen Verzeichnisses der verf gbaren Dateien wie es Napster tat arbeitet die FastTrack Software auf der Basis einer gro en Zahl von Superknoten supernodes die ber die ganze Welt verteilt sind Jeder Superknoten enth lt ein suchbares Dateiverzeichnis das auf den FastTrack Clients verf gbar ist die gerade mit ihm verbunden sind Wenn sich ein neuer Client mit dem Internet verbindet und dann mit dem FastTrack System wird er einem Superknoten zugewiesen Von nun an werden alle von diesem Client angebotenen Dateien auf dem Superknoten gelistet und steh
16. bereinstimmenden Hashes identifizeren kann zwei Dateien einen identischen Schl sselwert aufweisen Dies passiert z B wenn zwei Film Dateien existieren und einer davon ist l nger als der andere aber beide stimmen in den ersten 300K berein Sie M SSEN berpr fen dass eine durch KaZAlyser identifizierte Datei tats chlich die ist die Sie meinen Obwohl ich erlebt habe dass KaZAlyser zwei unterschiedlich lange Dateien mit dem gleichen Hash identifiziert hat wurden sie immer korrekt als Kinderpornografie identifziert z B unterschiedliche Versionen derselben Datei Die Log Datei Zeigt grundlegende Log Informationen ber die von KaZAlyser unternommenen Prozesse Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 23 43 Grundlagen KaZaA zus tzliche Datenbanken hinzuf gen Sobald der Import Assistent gelaufen ist oder anstatt den Assistenten zu benutzen kann zus tzlich eine Datenbank f r gleichzeitige Ermittlungen geladen werden W hlen Sie FilelImport dbb oder FilelImport multiple dbb s aus dem Men Wenn Sie eine einzelne dbb Datei laden werden Sie aufgefordert die Datenbank auszuw hlen die Sie untersuchen wollen wenn Sie mehr als eine Datenbank laden werden Sie aufgefordert den Ordner auszuw hlen und alle dbb Dateien in dem ausgew hlten Ordner werden zur Untersuchung ge ffnet Dateidatum und zeit Informationen hinzuf gen Das Hinzuf gen weiterer Datums und Zeit Informati
17. det ist befinden sich einige dieser Informationen manchmal im slackspace am Ende dieser Datei In diesem Fall entschl sselt KaZAlyser diese Informationen und zeigt sie an Sie sind nun in den Lage den Befund zu berpr fen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 9 43 KaZAlyser Handbuch Version 1 1 0 Navigieren und verstehen des Desktops Die KaZaA Daten werden im KaZAlyser in einer Reihe von Fenstern angezeigt Databases Datenbanken Download sources Download Quellen Registry Registrierdatenbank Hashes Hashwerte Log Logdaten Nach einem Klick auf Databases oder Download sources wird ein Bildschirm hnlich der unten stehenden Abbildung angezeigt vorausgesetzt dass eine Datenbank geladen wurde Der Inhalt jeder dataxxx dbb KaZaA Datei wurde in eine Datenbank geladen und es ist sind diese Datenbankdateien die oben abgebildet sind oder falls m glich die Daten im Nachspann eines Downloads Jede Zeile in der Datenbank entspricht einem Datensatz in der dataxxx dbb bzw der Download Datei jede Spalte in der Datenbank entspricht einem Feld innerhalb eines bestimmten Datensatzes Zus tzliche Datenbanken k nnen dem Datenbankfenster entweder durch Auswahl von Import dbb oder Import multiple dbb s im File Men hinzugef gt werden Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 10 43
18. die gedownloaded werden soll und endet mit einem Nachspann der Daten in Bezug auf die Quelle enth lt darunter den Benutzernamen der Person von der die Datei heruntergeladen wurde und die letzte IP Adresse dieses Benutzers Dieser Nachspann enth lt auch den Datei Hashwert Falls die Datei von unterschiedlichen Orten heruntergeladen wurde gibt es f r jeden entfernten Benutzer einen Eintrag Um die teilweisen Downloads zu laden und anzuzeigen w hlen Sie den Men eintrag Filelldentify source of downloaded files W hlen Sie den Speicherort der teilweise heruntergeladenen Dateien normalerweise my shared folder und klicken Sie auf das Partial Download Register im oberen Bereich von KaZAlyser um die Ergebnisse zu sehen KaZAlyser tut folgendes 1 sucht nach einem Nachspann in jeder Datei im gew hlten Ordner berechnet eine neue CRC f r den Nachspann und vergleicht sich mit der CRC die im Nachspann gespeichert ist 3 berechnet einen neuen Hashwert f r den Dateiinhalt und stellt sicher dass der neue Hashwert mit dem Hashwert im Nachspann bereinstimmt 4 falls beides bereinstimmt werden die Details in die KaZ Alyser Tabelle bernommen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 25 43 Vollst ndig heruntergeladene Dateien Offensichtlich sind die Daten in der dbb Datei nur Teil der Geschichte falls die freigegebenen Dateien auch auf dem System vorhanden sind k nnen weitere
19. dner an Bestimmte von KaZaA erzeugte Informationen werden ebenfalls f r jede Datei gespeichert Dies beinhaltet einen Hashwert der ber verschiedene Teile der freigegebenen Dateien generiert werden die Farbtiefe eines Bildes die L nge eines Filmes usw Der Benutzer kann auch selbst zus tzliche Informationen in der Datenbank ablegen z B Sch sselw rter oder eine Beschreibung der Datei und den K nstler und das Album einer Musikdatei Wenn eine Datei aus dem KaZaA Netzwerk heruntergeladen wird wird es standardm ig im Ordner Gemeinsame Dateien my shared folders abgelegt und automatisch im KaZaA Netzwerk freigegeben Die gesamte von einem Benutzer hinzuf gte Information ist in diesem Fall diejenige die aus der heruntergeladenen Datei bezogen wurde Sie erbt sozusagen die Benutzerinformation der heruntergeladenen Site Falls sich der Benutzer entscheidet eine bestimmte Datei nicht freizugeben indem er in KaZaA rechts klickt und stop sharing w hlt oder indem die Datei aus my shared folders l scht wird die dbb Datenbank dahingehend ge ndert dass diese Datei nicht freigegeben ist und der Zeitpunkt wann KaZaA dieses Ereignis registriert hat wird in der Datenbank festgehalten Wenn ein Datei aus einen freigegebenen Ordner gel scht wird Kann der Eintrag ber die betreffende Datei noch f r eine lange Zeit in der dbb Datenbank existieren Downloads Wenn KaZaA einen Download beginnt wird eine tempor r
20. e Datei in my shared folders oder dem standardm ig eingestellten Download Ordner angelegt Diese Datei wird mit downloadxxxxxxxxxxXxXxxXxx dat benannt wobei die x 18 Ziffern repr sentieren Diese Datei besteht aus zwei unterschiedlichen Teilen Der Dateianfang enth lt Teile der gerade heruntergeladenen Datei gefolgt von einem KaZaA spezifischen Nachspann der Informationen dar ber enth lt von wo die Datei heruntergeladen wurde z B IP Adresse Zeitpunkt und Benutzer ID KaZaA benutzt diese Informationen bei der Wiederaufnahme eines abgebrochenene Downloads Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 33 43 Die Registrierdatenbank Weitere Benutzerinformationen von Bedeutung werden in der Registry gespeichert Dies umfasst den Benutzernamen ob die Dateifreigabe auf Anwendungsebene ein oder ausgeschaltet ist und f r die KaZaA Media Desktop Version 2 und h her die letzten 50 Suchbegriffe in verschl sselter Form Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 34 43 Fragen amp Antworten Wie kann ich beweisen Der Beschuldigte behauptet dass er nicht explizit nach Kinderpornografie gesucht hat wie kann ich dieses Argument widerlegen Falls es sich bei der Clientsoftware um KaZaA Media Desktop Version 2 und h her handelt exportieren Sie die Registry Dateien und importieren Sie diese in KaZAlyser Schauen Sie unter dem Registryschl sse
21. ed fles For viuse BEE Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 17 43 Die Registrierdatenbank kann untersucht werden um festzustellen ob das Sharing auf Anwendungsebene abgeschaltet wurde dies wird sp ter noch genauer behandelt Zuletzt freigegeben LastShared Dieses Feld wird aktualisiert wenn KaZaA bemerkt dass eine Datei nicht l nger als freigegeben vorhanden ist z B weil eine Datei die sich einem freigegebenen Ordner befand gel scht oder verschoben wurde Wenn KaZaA l uft w hrend die Datei gel scht wird dann wird das Feld blicherweise innerhalb weniger Minuten aktualisiert Wenn KaZaA nicht l uft wird das Feld aktualisiert beim n chsten Start von KaZaA aktualisiert Dateigr e FileSize Die Gr e der Datei Kategorie Category Wenn eine Datei im KaZaA P2P Netzwerk hinzugef gt wird kann der Benutzer eine Kategorie f r die Datei w hlen z B Rock Humor Erotik usw Wenn solch ein Datei durch einen neuen Benutzer heruntergeladen wird wird standardm ig diese Kategorie beibehalten aber er sie kann sie auf Wunsch ndern Titel Title Der Titel der Datei ist oft aussagekr ftiger als der Dateiname Er kann auch durch den Benutzer ge ndert werden K nstler Beschreibung Album Artist Description Album Der Name sagt alles Typ Type blicherweise beschreibt dies den Dateityp z B Film Foto Videoclip etc Schl ssel Hash Dies ist
22. eiinhalt und berpr ft ob der neu berechnete Schl sselwert mit dem Schl sselwert bereinstimmt der im Vorspann gespeichert ist Wenn die Schritte 2 und 3 erfolgreich sind protokolliert KaZAlyser in der CRC Spalte verified berpr ft d h KaZAlyser stellt sicher dass die vorgefundenen Daten zu der aktuellen Datei geh ren und berpr ft dass sie nicht besch digt sind Wenn die CRC Pr fsumme nicht bereinstimmt versucht KaZAlyser trotzdem die Daten des Vorspanns sinnvoll zu interpretieren Wenn der Schl sselwert nicht mit der zugeordneten Datei bereinstimmt wird kein Eintrag in den Downloadquellen angezeigt Dateiname FileName Dabei handelt es sich um den Pfad und den Namen der Datei im lokalen Dateisystem Quellen Sources KaZaA unterst tzt swarming downloads d h eine Datei kann aus mehreren Quellen zur gleichen Zeit heruntergeladen werden Dieses Feld zeigt die Zahl der Quellen an von denen die Dateien heruntergeladen wurden Wird im Feld eine 4 angezeigt sehen Sie 4 Datenzeilen im KaZAlyser Fenster eine f r jede Downloadquelle Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 20 43 Status State Der Download Status im Gange oder pausierend Ferne IP Adresse RemotelP Die IP Adresse des Computers von dem diese Datei heruntergeladen wurde dies kann eine von mehreren Quellen sein Es gibt verschiedene Datums und Zeitangaben die zu diesem D
23. ein 20 Byte gro er Hashwert der aus einer 16 Byte MD5 Pr fsumme und einer 4 Byte gro en CRC Pr fsumme Cyclic Redundancy Code besteht Der MD5 Teil des Hashwertes wird aus den ersten 300 KB der Datei berechnet Der Algorithmus der verbleibenden 4 Byte CRC Pr fsumme Konnte bis jetzt nicht vollst ndig identifiziert werden Sprache Language Die Sprache der Datei sie kann durch den Benutzer angegeben oder ge ndert werden Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 18 43 Erscheinungsjahr Version Betriebssystem ReleaseYr Version OS Ebenfalls benutzerdefiniert Aufl sung Farben Bitrate Codec Sekunden Resolution Colours Bitrate Codecs Seconds Diese Angaben werden durch KaZaA ermittelt und dargestellt Zeitstempel TimeStamp Dieses Feld hat blicherweise keinen Inhalt und sein Zweck ist bisher unbekannt Integrit t Integrity Das Integrity Feld ist neu in KaZaA Media Desktop V2 oder h her und ist eine Methode ber die KaZaA seine Benutzer bewertet Ein Benutzer wird ermuntert eine Datei zu bewerten schlecht gut oder exzellent Wenn solch eine Datei sp ter von einem Benutzer heruntergeladen wird erh ht sich sein oder ihr Bewertungsstatus im KaZaA Netzwerk Wichtig aus Strafverfolgungssicht ist dass eine durch Benutzer A bewertete aber durch Benutzer B heruntergeladene Datei keinen Bewertungsstatus aufweist Ist also eine Integrit tsbewertung gesetzt dann ha
24. en repr sentieren Daten die nicht in der dbb Datei enthalten sind Dies schlie t Kommentare den Namen der dbb Datei die Datensatznummer innerhalb der dbb Datei und das Dateierstellungsdatum und das nderungsdatum die nderungszeit ein Folgende Spalten sind vorhanden sobald eine dbb Datei geladen wurde FileName Category Type Version Integrity FileDate Title Hash TimeStamp Notes Shared Artist Language Codec DBName LastShared Description Resolution ReleaseYr RecNo FileSize Keywords Colours Seconds Integrity FilePath Album Bitrate OS Notes Obwohl den meisten dieser Spalten Daten zugeordnet sind trifft dies nicht f r alle zu Es folgt eine Beschreibung jeder dieser Spalten wie sie gegenw rtig verstanden werden Dateiname Filename Dies ist der Name der Datei wie er im KaZAlyser P2P System verwendet wird Dies ist auch der verwendete Name der Datei egal in welchen freigegebenen Ordnern sie sich gegenw rtig befindet Dateipfad Filepath Dies ist der Ort auf dem verd chtigen Computer an welchem die Datei gefunden wurde Dateidatum FileDate Dies kann am besten beschrieben werden als letztes Datei Speicherungs oder letztes nderungs Datum Uhrzeit als die heruntergeladen oder zum ersten Mal von einem Benutzer freigegeben wurde Freigegeben Shared Dieses Feld zeigt an ob eine Datei in der dbb Datenbank als freigegeben markiert ist Ein KaZaA Benutzer kann ausw hlen ob eine be
25. en f r andere zum Download zur Verf gung Auf diese Weise sind die FastI rack Organisationen KaZaA Grokster und FileShare in der Lage zu behaupten dass keine Kenntnis davon haben welche Dateien auf dem System getauscht werden da sie die Superknoten nicht unter Kontrolle haben und sie deshalb nicht denselben rechtlichen Verpflichtungen wie Napster unterliegen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 37 43 Anschluss an eines der Peer to Peer Systeme Um sich einem der FastTrack Peer to Peer System anzuschlie en muss sich ein Internet Benutzer zun chst eine Kopie der FastIrack Clientsoftware besorgen Diese ist als frei verf gbarer Download ber einige Sites im World Wide Web verf gbar oder sie kann gekauft werden Die meisten Benutzer laden die kostenlose Version aus dem Web herunter Anschlie end muss der Internetbenutzer die Software zun chst auf seinem ihrem Computer installieren Das Programm stellt am Ende des Installationsprozesses eine Internetverbindung zu einem Zentralcomputer her der die Benutzernamen verwaltet Der Benutzer wird aufgefordert einen Benutzernamen zu w hlen der innerhalb des FastIrack System verwendet wird Dieser Name muss in keinerlei Bezug zu dem realen Namen des Benutzers oder seiner E Mail Adresse stehen obwohl dies m glich ist So k nnte ein Benutzer mit dem Namen Fred Smith den Benutzername FredSmith oder sagen wir Freddie w hlen aber es kann gut der
26. er Suchen Bildschirmmaske und die Ergebnisse werden angezeigt Fami File bp Dateien mit andere Benutzern teilen Salt Fe Carl e ADe i pia mi a r ha a ba Piei Tiki Wea Thes j ha ahenk kae Der Benutzer eines Clientcomputers hat die vollst ndige nei TET IAE an Kontrolle welche Dateien im Netzwerk freigegeben sind und welche nicht Der Benutzer k nnte sich entscheiden keinerlei Dateien freizugeben oder nur einige Dateien in My Shared Files oder alle in diesem Ordner oder Dateien in anderen Ordnern oder andere Laufwerken des Clientcomputers freizugeben Die Abbildung rechts zeigt das Werkzeug mit dem weitere Daten auf dem Rechner zur Freigabe bestimmt werden k nnen ELLE zl BE 2 A E Ficken aha dba a eedd ii u pima Der Benutzer ist sich zu jedem Zeitpunkt im Klaren was TZ FI ahaa aTa hr k Babia ar ai Fa Laisi freigegeben ist da diese Information kontinuierlich am ae unteren Rand des FastTrack Bildschirms angezeigt und aktualisiert wird egal welcher aktiv ist Falls der Benutzer keinerlei Dateien freigegeben hat ist dies in der Fu leiste klar ersichtlich wie in der Abbildung unten Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 41 43 535 746 users onlne sharing 317 737 008 fies 12 367 104 GB Hat sharing ary files Falls der Benutzer Dateien freigegeben hat dann wird die Tatsache dass dies passiert wieder klargemacht Im n chsten Beispiel hat der Benutzer 50
27. es Biray Sprit Baky ry Pie ima Lat Bike aT Qami 1 dE Agas Dad bn La Waay Hi bey ria hiep sten H si Bar De Fois ae Diy E i Ha his Dib O re hine ir Te bigi A Gad Pior Y Pimy hasti F tei Inte az Bley rl Hierin Tr Hoi Dial Pioi Ta a ac Bi iir Eins Lacka DiI ima iwar Unina i Brau u en G hmnc ie arba e makh iE rer Ta CTh A ubr z g F T E E Im X 2 IE E E T E R m Mn Die hier gezeigte Suche war in der Audio File Kategorie und verwendete den Suchbegriff spears als K nstlernamen Ein Teil des Suchergebnisses wird hier rechts vom Suchfeld anzeigt Wenn ein kleines Pluszeichen neben dem Eintrag angezeigt wird bedeutet dies dass mehr als ein Benutzer auf diesem Superknoten dieselbe Datei zum Download anbietet Die Musikdatei Lucky wird daher so angeboten aber nur ein Benutzer bietet Girl in My Mirror an F r den Benutzer verf gbare Datei Information Die Information f r jeden in der Suchmaske angebotenen Treffer sind folgende Eine Beschreibung des Eintrags dies ist ein Alias nicht der tats chliche Dateiname Der K nstler Das Album f r Musikdateien Die Kategorie f r Musik Pop Klassik etc Die ETA Estimated download time gesch tzte Downloadzeit Der die Benutzer welche die Datei anbieten Die Qualit t der Aufnahme sampling rate Die Spielzeit in Stunden Minuten und Sekunden Die Dateigr e in Kilobyte Die gesch tzte Bandbreite die dem anbietenden Benutzer zur Verf
28. gung steht Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 39 43 e Der tats chliche Dateiname einschlie lich der Dateierweiterung die das Dateiformat anzeigt z B mpg oder avi Die Information ist hnlich f r Videodateien mit der Ausnahme dass Album fehlt und die Spalten Type und Language vorhanden sind Tike Um A Sleme d U gromeraden Zus tzlich werden oftmals weitere Informationen angezeigt wenn mit dem Mauszeiger ber ein Eintrag gefahren wird wobei manche Daten der Bildschirmmaske wiederholt werden Auf der Abbildung kann erkannt i werden dass es sich bei der betreffenden Datei um eine elle Or Be RER 1a Videodatei handelt die von einem Benutzer names Bi Kard Framer den wich Commerciei vincentengel KaZaA angeboten wird dass die Dateigr e 4 896 KB betr gt dass die Spielzeit 22 Sekunden und der tats chliche Dateiname Britney Spears lautet HBO Commerical mpeg Innerhalb der Suchmaske hat der Benutzer auch die M glichkeit durch Rechtsklick auf einen Treffer eine Liste aller Dateien des Benutzers anzufordern der ausgew hlte Datei anbietet Dies ist ein wichtiges Werkzeug f r den Ermittler das ihn in die Lage versetzt eine vollst ndige Liste aller Dateien zu erhalten die ein ausgew hlter Benutzer zum Tausch anbietet Herunterladen einer Datei Um eine Datei herunterzuladen ist es f r den Benutzer nur notwendig entweder einen Rechtsklick auf d
29. ichtlich um Kinderpornografie handelt Identifikation von Dateien die einen bekannten Kinderpornografie Hashwert besitzen Identifikation aller Grafik Video Dateien Sortierung nach beliebigen Spalten Datenbankexport im CSV Format Entschl sselung und Anzeige von KaZaA Media Desktop V2 Suchzeichenfolgen aus der Registrierdatenbank e Entschl sselung und Anzeige von Details zu entfernten Benutzern aus teilweise heruntergeladenen Dateien e Sofern vorhanden Entschl sselung und Anzeige von Details zu einem entfernten Benutzer im slackspace von heruntergeladenen Dateien e Generieren von Berichten KaZAlyser kann eine oder mehrere FastTrack basierten Datenbankdateien z B KaZaA ffnen und den Inhalt in tabellarischer Form anzeigen Hinweis In diesem Handbuch wird der allgemeine Begriff KazaA f r alle kompatiblen Programme benutzt Nach dem Laden in KaZAlyser k nnen Filter auf die Datenbankeintr ge angewendet werden um die Anzeige auf besondere Datens tze wie z B alle Grafikdateien oder als Kinderpornografie bekannt zu beschr nken KaZAlyser kann auch den Inhalt der KaZaA Registrierdatenbank anzeigen und gespeicherte Suchzeichenfolgen entschl sseln Die haupts chliche Verbesserung von KaZAlyser gegen ber fr heren Versionen ist seine F higkeit die Quelle von heruntergeladenen Dateien zu identifizieren KaZAlyser kann die IP Adresse den Benutzernamen und Datum Uhrzeit von Teildownloads und unter gewissen Umst nden von
30. ie gew hlte Datei auszuf hren und dann Download auszuw hlen oder alternativ aus die gew hlte Datei doppelzuklicken Jede dieser Aktionen startet den Download auf die Maschine des Benutzers Falls ein Benutzer den Download von Dateien in einem Peer to Peer Netzwerk berwachen m chte kann er dies durch Umschalten auf die Traffic Bildschirmmaske tun Es ist m glich viele verschiedene Dateien gleichzeitig herunterzuladen und der Fortschritt jeder einzelnen Datei wird der Traffic Bildschirmmaske angezeigt Diese Bildschirmmaske hat zwei Teile Der obere Teil zeigt die Details jedes laufenden Downloads auf die Benutzermaschine und der untere Teil zeigt die Details jedes laufenden Uploads von der Benutzermaschine vgl folgenden Bildschirm Die obige Abbildung zeigt einen Ausschnitt des Downloadfensters Eine Datei mit Namen Not a Girl Not Yet aWo man von Britney Spears wird gerade dem Benutzer Ivan KaZaA heruntergeladen 3520 KB von insgesamt 42 254 KB wurden bereits heruntergeladen und bei der aktuellen Geschwindigkeit sch tzt das System dass der Download in 2 Stunden 50 Minuten und 30 Sekunden abgeschlossen sein wird Die Transfergeschwindigkeit betr gt 3 79 Kilobits pro Sekunde Kb s ber dieser Zeile sucht das System nach einer Kopie eines Musikst cks von Brian Ferry und dar ber befindet sich eine andere Downloadanforderung die eingestellt wurde weil gerade kein Benutzer online ist der diese Datei a
31. ie Spaltenbreite dem breitesten Eintrag anzupassen Resize to text oder alle Spalten der Textbreite der Spalten berschriften anzupassen Resize to title Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 12 43 Filter und Berichte KaZAlyser wird mit einem Satz von eingebauten Filtern geliefert Diese Filter bilden auch die Basis f r die Berichtsfunktionen innerhalb KaZAlyser Ein Filter ist einfach eine Methode um bestimmte Datens tze vor dem Anwender zu verbergen Wenn ein Filter ausgew hlte wurde sagen wir alle markierten Dateien dann werden alle die Dateien nicht angezeigt die das Markierungsh kchen nicht haben Es gibt zwei Hauptfilter in KaZAlyser die einer genaueren Beschreibung bed rfen Wahrscheinlich Kinderpornografie Probable child pornography Der Filter Probable child pornography verwendet eine Datenbank mit Hashwerten bekannter Kinderpornografie mit bekannt meine ich es ist nach der Einsch tzung eines erfahrenen Polizeibeamten unwahrscheinlich dass die Abbildungen in diesen Dateien nicht Minderj hrige zeigen Die Hashwerte wurden aus Dateien gewonnen von denen bekannt ist dass sie im KaZaA Netzwerk verbreitet werden Bei der Datei in der die Hashwerte gespeichert sind handelt es sich um eine Textdatei namens cphash txt die sich im gleichen Ordner befindet wie die exe Datei von KaZAlyser Die Datei enth lt einfach einen 32 Zeichen Hashwert
32. l HKEY_CURRENT_USER Software KaZaA Search KaZ Alyser zeigt die Liste der letzten 50 Suchbegriffe auf diesem Computer Beachten Sie dass diese Eintr ge in verschl sselter Form in der Registry gespeichert sind KaZAlyser entschl sselt diese und zeigt sie im Klartext an Der Beschuldigte behauptet dass er nachdem er eine Site mit harmlosem Material gefunden hat das ihn interessiert die Option finde alles von diesem Benutzer gew hlt hat ohne darauf zu achten was im einzelnen heruntergeladen wurde 1 Laden Sie die KaZaA Datenbank Dateien in KaZAlyser und laden Sie auch die Zeitstempel der Dateien Es werden die Inhalte der KaZaA Datenbank und die Zeitstempel der eigentlichen Dateien angezeigt Wenn ein Download f r mehrere Dateien beginnt legt KaZaA einen tempor ren Platzhalter f r jede Datei an die gedownloaded werden soll dies erm glicht KaZaA abgebrochene Downloads wieder aufzunehmen Diese Dateien werden zum exakt gleichen Zeitpunkt angelegt wenige Millisekunden Falls die Behauptung wahr ist haben alle Dateien deren Download zum gleichen Zeitpunkt gestartet wurde denselben Zeitstempel 2 KaZaA erstellt den tempor ren Dateinamen in der Form download12343223332223 dat wobei die ersten Zahlen in codierter Form Datum und Uhrzeit des Downloads darstellen Diese Dateien werden in den tats chlichen Namen umbenannt nachdem der Download erfolgreich abgeschlossen wurde Wenn ein Download l uft zeichnet KaZaA a
33. lichste Information in der KaZaA Registrierdatenbank sind die zuletzt verwendeten Suchbegriffe Diese Information wird nur in KaZaA Media Desktop Version 2 und h her gespeichert wobei die letzten 50 Suchbegriffe aufgezeichnet und in verschl sselter Form gespeichert werden KaZAlvyser dekodiert die Sucheintr ge der Registrierdatenbank und zeigt sie im Registrierdatenbank Fenster an Weitere n tzliche Registrierdatenbank Eintr ge sind e Der Ort freigegebender Ordner Der Benutzername E Mail Adresse L nderkennung Die Downloadbandbreite Die Zahl gleichzeitiger Downloads und Uploads Ob gemeinsame Nutzung eingeschaltet ist Nicht alle der genannten Informationen sind vorhanden und nicht alle sind verl sslich Schl sselwerte Hashes KaZaA verwendet beim Aufzeichnen von Dateien und gleichzeitigen Downloads Schl sselwerte Der Schl sselwert ist 20 Byte gro und besteht aus einer 16 Byte MDS5 Signatur die auf den ersten 300 KB der Datei basiert und einer 4 Byte umfassenden zweiten Checksumme CRC KaZAlyser wird mit einer kleinen Hash Bibliothek bekannt gewordener Kinderpornografie ausgeliefert Sollten Sie diese Bibliothek erweitern wollen k nnen Sie Ihre eigenen KaZaA Hashes ber ein der Optionen aus dem Tools Men erstellen Beachten Sie dass die von KaZAlyser erzeugten Schl sselwerte nur MD5S Hashes sind und nicht die zus tzliche 4 Byte CRC enthalten Deswegen ist es m glich dass obwohl KaZAlyser Dateien mit
34. m Ende jeder tempor ren Datei verschiedene Daten auf die die Downloadquelle n betreffen Diese Information befindet sich in der tempor ren Datei Verwenden Sie KaZAlyser um tempor re Dateien zu laden und die Quellinformationen anzuzeigen Wenn zu vermuten ist dass mehrere Dateien von demselben Benutzer heruntergeladen wurden dann erscheint sein Name und die IP Adresse die er zum Zeitpunkt des Downloads hatte in jeder tempor ren Datei von ihm ihr Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 35 43 3 Wenn ein Download erfolgreich abgeschlossen ist wird die tempor re Datei in den tats chlichen Namen der Datei umbenannt Wenn dies passiert hinterl sst KaZaA oftmals einige Informationen in Bezug auf die Downloadquelle im slack space am Ende der Datei KaZAlyser versucht diese Informationen zu entschl sseln und in einer f r Menschen lesbaren Form anzuzeigen Leider scheint diese Information oft teilweise berschrieben zu sein so dass nicht alle Daten verf gbar sind Diese Information wird in komplexer Form gespeichert Wenn Daten vorhanden sind und erfolgreich entschl sselt werden k nnen kann man in einem sehr hohen Ma auf die Authentizit t vertrauen Der Benutzer hat mehr als 5000 Dateien in seiner Datenbank ich m chte nur Kinderpornografie identifizieren wie kann ich dies tun Es gibt zwei Methoden 1 den Filter bekannte Kinderpornografie aus dem Filter Men verwenden
35. nbietet Entweder wurde sie in Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 40 43 einer fr heren Sitzung ausgew hlt als sie angeboten wurde oder Benutzer der sie angeboten hat ging offline oder sein System in zu sehr ausgelastet um die Datei liefern zu k nnen Falls mehr als eine Benutzer eine bestimmte Datei anbietet kann ein segmentierter Download stattfinden Ein segmentierter Download liegt vor wenn verschiedene Teile der angeforderten Datei von verschiedenen Benutzern im Netzwerk zu Verf gung gestellt werden Dies beschleunigt den Downloadprozess und bedeutet dass der anfordernde Benutzer nicht von einem einzelnen Benutzer abh ngig ist Benutzer im System k nnen kommen und gehen aber der Download wird fortgesetzt Wie bereits erw hnt wird die heruntergeladene Datei standardm ig im Ordner My Shared Files gespeichert und sobald der Download abgeschlossen ist ist sie in der Standardeinstellung f r andere Peer to Peer Netzwerkbenutzer zum Tausch verf gbar obwohl diese durch den herunterladenden Benutzer verhindert werden kann Wie in der Suchen Bildschirmmaske existiert die M glichkeit f r den Benutzer eine Dateiliste abzurufen die von einem bestimmten Benutzer angeboten wird So kann in dem oben geschilderten Fall der Benutzer durch einen Rechtsklick die Liste von Ivan KaZaA abrufen von dem er die Britney Spears Datei heruntergeladen hat Dadurch wechselt die Ansicht zu d
36. ndelt es sich bei dem Benutzer der untersuchten KaZaA Installation um denjenigen der diese Bewertung abgegeben hat dies beweist im Beispiel das Wissen von Benutzer A ber die Dateiexistenz Datenbankname DBName Der Dateiname und pfad der dbb Datenbank Datei aus welcher der Datensatz extrahiert wurde Datensatznummer RecNo Die Datensatznummer innerhalb der o g Datenbank Kommentare Notes Dies sind Anmerkungen die durch den Ermittler angef gt wurden Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 19 43 Downloadquelle Download source Die Seite Downloadquellen zeigt folgende Felder an CRC LastModified Keywords Codec FileName Hash Resolution Integrity Sources RemoteName Category releaseYr State Size OS LocalPath RembotelP SuperNodelP Colours StartTime UserStatsUpdat Title Type Notes ed Seconds Bitrate RecNo UserID Artist Version FileNameDate Album TimeStamp Created Language Description Jedes dieser Felder wird nachfolgend besprochen CRC Pr fsumme Cyclic Redundancy Code Wenn ein gew hltes Verzeichnis nach Downloadquellen untersucht wird unternimmt KaZAlyser folgende Schritte f r jede Datei 1 sucht nach einem Vorspann in der aktuellen Datei berechnet die CRC Pr fsumme f r den Trailer neu und vergleicht sie mit der CRC Pr fsumme innerhalb des Vorspanns 3 Berechnet einen Schl sselwert f r den eigentlichen Dat
37. oder mehrere Hashwerte erzeugt haben k nnen diese aus der Hash Anzeige kopiert und die Datei cphash txt eingef gt werden Bitte beachten Sie KaZAlyser F higkeit Dateien mit kinderpornografischem Inhalt ber seine Hash Engine zu erkennen ist nur so gut wie der Inhalt der Datei cphash txt Lassen Sie gro e Sorgfalt walten um eine Verseuchung zu vermeiden Das Speichern Ihrer Arbeit und das Laden einer gespeicherter Arbeitssitzung W hlen Sie FilelSave Workspace aus dem Men und dann einen geeigneten Ort f r Ihre aktuelle Arbeitssitzung Alle aktuellen Einstellungen Marken Kommentare etc bleiben erhalten Zu einem sp teren Zeitpunkt w hlen FilelLoad Workspace um einen vorherigen Fall zu laden Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 28 43 KaZAlyser konfigurieren Konfigurieren Sie die KaZ Alyser Laufzeit Optionen ber den options Dialog W hlen Sie ToolslOptions aus dem Men Auf der ersten Options Registerseite geht es um allgemeine Programmeinstellungen General Options Pr 1 General Dates Hash Marching Repor F Case mrave suing 7 Flemernber last diaztoriet I Run verard on taup 7 Wris dhug og 7 Force CAC chesk om donisadi hir Sare zeiliige on ext Case sensitive sorting Wenn ausgew hlt wird eine Gro buchstabe wie ein Kleinbuchstabe behandelt A ist sozusagen dasselbe wie a Wenn nicht ausgew hlt gilt die Reihef
38. olge a b c d z A B C etc Remember last directories Falls ausgew hlt merkt sich KaZAlyser die zuletzt benutzten Verzeichnisse Ordner und verwendet sie als Startpunkt f r zuk nftige Dateioperationen Run wizard at startup Entfernen Sie das H kchen um zu verhindern dass der Assistent beim Aufruf von KaZAlyser gestartet wird Write debug log Falls ausgew hlt schreibt KaZAlyser automatisch eine ausf hrliche Logdatei im Programmordner z B Programme Sanderson forensics KaZAlyser debug log Verwenden Sie diese Auswahl wenn Sie Probleme haben und Debug Informationen an Sanderson Forensics senden m chten Debug Logdaten werden bei jedem Programmlauf angeh ngt so dass die Datei sehr gro werden kann Bitte stellen Sie sicher dass diese Option nur eingeschaltet ist wenn sie ben tigt wird Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 29 43 Force CRC check on downloads Falls Identify download sources ausgew hlt ist kann KaZAlyser berpr fen ob die CRC den Nachspanns mit den verkn pften Daten korrespondiert Bei eingeschalteter Option ist die Fehlerpr fung von Encase genauer und kann dazu f hren dasss KaZAlyser m gliches Beweismaterial bersieht Ein Ausschalten der Option kann zu einem Absturz von KaZAlyser f hren W hlen Sie die Option wenn KaZAlyser abgest rzt ist oder andere Probleme w hrend der Aktion Identify download sources aufgetreten sind Dates
39. onen f r eine physische Datei die mit einem Datensatz in der dbb Datenbank korrespondiert stellt sich wie folgt dar 1 Identifizieren Sie den freigegebenen Ordner der der aktuell in KaZAlyser geladenen dbb Datenbank zugeordnet ist 2 W hlen Sie Add file date and time information aus dem Datei Men 3 Navigieren Sie mit Hilfe des Browse For Folder Dialogs zu dem in Schritt 1 identifizierten Ordner KaZAlvyser wird nun a Der Reihe nach jede Datei im freigegebenen Ordner ffnen und einen Schl sselwert berechnen b Den berechneten Hashwert und diesen mit den Dateien in der geladenen dbb Datenbank vergleichen um festzustellen ob einen bereinstimmung gefunden wurde c Die Informationen Date Last Written und Date Created direkt aus der Datei ermitteln und diese bei dem passenden Datensatz anzeigen Diese Information wird nun in einer gelben Spalte angezeigt und kann verwendet werden um zu versuchen zu ermitteln ob eine Datei aus dem Internet geladen oder durch einen Benutzer in den freigegebenen Ordner kopiert wurde Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 24 43 Die Quelle eines Downloads identifizieren Teilweise heruntergeladenene Dateien Wenn eine Datei von KazaA heruntergeladen wird geschieht das in Bl cken und jeder Block wird in einer tempor ren Datei mit einem Namen wie download112003400102 dat gespeichert Diese Datei beginnt mit den Daten der Datei
40. ownload aus dem Men und w hlen den o g Ordner F r jede teilweise heruntergeladene Datei gibt es einen oder mehrere Eintr ge Zeilen die Informationen enthalten welche n her betrachtet werden m ssen Der Ermittler muss die gelisteten Remote IP Adressen in Verbindung mit den verschiedenen Zeitstempeln untersuchen um festzustellen ob die Remote IP eine vielversprechende Adresse ist Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 36 43 FASTTRACK PEER TO PEER NETZWERKSOFTWARE Historie des Peer to Peer Systems Alle Peer to Peer File Sharing Systeme im Internet wurden entworfen den Benutzern von PCs mit Internetzugang zu erm glichen Dateien direkt untereinander zu tauschen Eines der ersten System war Napster das zum Tauschen von Musikdateien konzipiert war blicherweise im MP3 Format Napster wurde geschlossen weil richterlich entschieden wurde dass es ein System ist das anderen erlaubt gegen Copyright und geltendes Recht zu versto en Die Schlie ung wurde durch die Tatsache erleichtert dass Napster eine zentralen Computer benutzte der alle gemeinsamen Dateien seiner Mitglieder auflistete Es wurde deshalb argumentiert dass Napster wusste was und von wem getauscht wurde und die Napster Organisation hatte die Kontrolle ber Copyrightverletzungen etc In der Folgezeit nahmen vier andere Peer to Peer Netzwerksysteme urspr nglich alle in erster Linie auf den Tausch von Musikdateien
41. ownload geh ren Es sollten alle untersucht werden um festzustellen ob es sich um eine verl ssliche IP Adresse handelt Benutzerstatus aktualisiert UserStatsUpdated Dieses Feld scheint in unregelm igen Intervall aktualisiert zu werden manchmal berhaupt nicht Wenn ein Eintrag vorhanden ist kann mit Sicherheit gesagt werden dass die RemoteIP zu diesem Zeitpunkt benutzt wurde Datum des Dateinamens FileNameDate Ein Feldinhalt ist nur bei teilweisen Downloads vorhanden wenn die Dateinamen die Form downloadxxxxxxxxxXxxXxXxXXX dat haben wobei die x Zahlen repr sentieren Die ersten 10 enthalten codiert Datum und Uhrzeit Dies kann der Zeitpunkt sein an dem der Download gestartet wurde d h als der Benutzer die Datei angefordert hat Dieses Datum ist normalerweise j nger als das Dateisystemdatum Erstellt Created Datum und Uhrzeit als diese Datei auf dem untersuchten Computer erstellt wurde diese Zeit ist direkt aus dem Dateisystem ermittelt nicht aus der heruntergeladenen Datei Es handelt sich um die tats chliche Startzeit des Downloads oder bei einem teilweisen Download um die Endezeit des letzten Downloadsegments Zuletzt ge ndert LastModified Zeitpunkt an dem die Datei zuletzt ge ndert gespeichert wurde Dies ist das tats chliche Ende des Downloads Startzeit Start Time Dieser Zeitpunkt liegt normalerweise vor dem FileNameDate und k nnte Datum Uhrzeit angeben an dem KaZaA ges
42. red Files abgelegt und sind auch automatisch f r andere Benutzer verf gbar sobald der Download auf der Benutzermaschine abgeschlossen ist aber nicht vorher Zus tzlich erm glicht es die FastTrack Software dem Benutzer andere Dateien Ordner oder sogar ganze Laufwerke auf seinem ihrem Computer zum Tausch ber das Peer to Peer Netzwerk verf gbar zu machen Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 38 43 FastTrack Suchfunktionen Die FastTrack Clientsoftware hat eine Reihe verschiedener Bildschirmmasken die der Benutzer f r verschiedene Zwecke einsetzen kann Einer der wichtigsten ist eindeutig die Suchmaske Nach dem ffnen der Suchmaske kann der Benutzer angeben nach welchem Dateityp er sie sucht Die Auswahl sind Video Audio Software Bilder oder Dokumente Alternativ kann sich der Benutzer zu einer Suche ber alle Typen entscheiden indem er die Everything ei Option verwendet E Eredar C irh Ein Suchbegriff wird im Search for Feld eingegeben und die Search x an Now Schaltfl che wird angeklickt Der Superknoten mit dem der E Dumas D Ga Benutzer verbunden ist wird dann nach Dateien durchsucht die zu dem ee Suchbegriff des Benutzers passen Der Benutzer kann die maximale Trefferzahl bis zu 200 festlegen Das Suchergebnis wird rechts neben dem Suchfeld angezeigt Fiir ri Fi 207 Bias Somit Bins Bra uyan Dtr Briag Sga rbaa Bbp Lr key w
43. riana He timer DMT 000 z jonsi fe ima peku ooun GHT ODE Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 4 43 KaZAlyser Handbuch Version 1 1 0 Laden und untersuchen Ihrer ersten Datenbank Starten Sie KaZ Alyser und es wird Ihnen der folgende Bildschirm pr sentiert morr Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 5 43 KaZAlyser Handbuch Version 1 1 0 Der Assistent wird Ihnen eine Reihe von Dialogfenstern anzeigen Beachten Sie Falls Sie einen Schritt bergangen haben oder wenn Sie mehrere Quelle laden wollen k nnen Sie dies im Hauptmen erst nachholen wenn der Assistent beendet ist Layer Wizard HRA Benutzen Sie den NEXT Button um zur n chsten Seite zu gelangen m glicherweise werden Sie zuvor aufgefordert Informationen einzugeben oder benutzen Sie den PREVIOUS Button um zur vorherigen Seite zur ckzukehren Sie k nnen den Assistenten jederzeit abbrechen indem Sie den CANCEL Button ausw hlen Jeder Schritt ist optional es k nnen einzelne oder alle bersprungen werden Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 6 43 KaZAlyser Handbuch Version 1 1 0 Im ersten Dialogfenster werden Sie aufgefordert den Ort Ihres KaZaA Datenbankordners anzugeben Das Dr cken des NEXT Buttons zeigt den Ordnerauswahl Dialog an den Sie normalerweise nutzen sollten um den Ort eines extr
44. stimmte Datei innerhalb eines freigegebenen Ordners nicht freigegeben werden soll indem er auf Stop Sharing vgl n chsten Screenshot klickt In diesem Fall zeigt das Feld Shared No an Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 16 43 iew Player Toos Actions Help jee F meaa Fi m sms amp ra Ge Be zu x 2 Feldes prons Fuer ia i Mi My Meria En aa a EI Auds 12 125 Document 1 a 5 mge i5 3 the 5 afg Sware 5 zj video 3 ar Me Playlists Ca New Plandisk 2 Mow Playing C Te gested punk mit eier I Fate It Naturns Hpi M Exeler Arnastada Average bink 182 Tom brean Fi HARDAR OWA MP3 G Paid Hy Dues 2 seasons In the sun Tring ba rap Foo Fighters kylie Mrige kyla Firoga Miss Dynante Zeki Horen Tom araen Word Trade C Ein Benutzer kann das Sharing auch generell abschalten indem er die entsprechende Option in der KaZaA Optionen siehe n chsten Screenshot ausw hlt In diesem Fall zeigt das Shared Feld weiterhin Yes Kara Mecha Desktop limina Mp Kazaa Tuaifie Advanced Fiter Fremall Messages Skins Folder for dowmioaded fier aan Shared Folder w Limits Hou can delira the maamum rumbe of 10 sinubareoin downdaars here You can dalina tha masmura number of i er sirnulaneoue uploade hee u Rastors defauts 17 Diesabie shaing of Hes wilh olhe Kassa Media Deskop ines 7 Diabe scanning ol shar
45. t wie Downloads im der oberen H lfte siehe oben Sogar wenn der Upload abgeschlossen ist wird die Tatsache dass dies passiert ist weiterhin in der unteren H lfte der Traffic Bildschirmmaske angezeigt So werden nicht nur gerade laufende Uploads angezeigt sondern auch solche die w hrend der Peer to Peer Sitzung stattgefunden haben Das Fenster wird gel scht wenn sich entweder der Benutzer dazu entscheidet oder die FastTrack Software beendet wird Nochmals diese Anzeige zeigt dem Benutzer des Rechners Details aller Uploads die von seinem ihrem Computer stattgefunden haben klar und deutlich an W hrend eines Uploads wird sogar der Name des Clients angezeigt der den Upload vornimmt Der Benutzer kann laufende Uploads abbrechen wenn er sie dies w nscht und kann in der FastTrack Software auch angeben wie viel gleichzeitige Uploads von seiner ihrer Maschine zugelassen sind sowie die zugelassene Bandbreite f r Uploads Mit anderen Worten der Benutzer hat volles Bewusstsein und Kontrolle ber die Upload Aktivit ten von seinem Computer Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 42 43 IP Adressen und die Bedeutung der Zeit Wann immer ein Computer mit dem Internet verbunden wird wird ein Merkmal festgelegt das zu einem bestimmten Zeitpunkt f r diese Maschine im Internet eindeutig ist Dieses Merkmal wird IP Internet Protocol Adresse genannt und wird in Form einer Serie von vier Zahlen
46. tartet wurde Schl sselwert Hash Der Schl sselwert der Datei Dies ist der Schl sselwert eines vollst ndigen Downloads oder der Schl sselwert den eine Datei hat wenn der Download f r partial downloads komplett ist Benutzer ID UserID Die Benutzer ID des Benutzers von dem die Datei heruntergeladen wurde BenuterlDs sind in KaZaA nicht eindeutig Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 21 43 Gr e Size Die Gr e die der Download haben wird wenn die Datei vollst ndig heruntergeladen ist IP des Superknoten SuperNodelP Die IP Adresse des Superknoten der die Verbindung zwischen dem Benutzer und dem entfernten Computer erm glicht Title Seconds Artist Album Language Keywords Resolution Category OS Colours Type Bitrate Version TimeStamp Description Codec Integrity ReleaseYr Size All diese Felder werden im Abschnitt Datenbank weiter oben beschrieben Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 22 43 Die Registrierdatenbank verstehen KaZAlyser zeigt die Registrierdatenbank auf zwei Arten an RAW bedeutet Anzeige aller Registrierdatenbank Eintr ge ungeachtet ihres kriminaltechnischen Beweiswerts PROCESSED aufbereitet zeigt die wahrscheinlich n tzlichsten Registrierdatenbank Eintr ge Die Daten des aufbereiteten Registrierdatenbank Fensters werden in den KaZAlyser Bericht importiert Vermutlich die n tz
47. vollst ndigen Downloads ermitteln Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 2 43 Schnellstart KaZAlyser Registration Wenn KaZAlyser das erste Mal gestartet wird werden Sie aufgefordert Ihre Lizenzdaten einzugeben die Sie beim Kauf zusammen mit dem Installationsprogramm erhalten haben tere Denkbeatkon Bundes rn Foenaos Ya u an nase et Keks beea boa Ihre Lizenz besteht aus bis zu 5 Textzeilen und einem Lizenzschl ssel Geben Sie Ihre Lizenzdaten exakt so ein wie Sie sie erhalten haben keine zus tzlichen Leerzeichen oder andere Formatierungen und geben Sie dann den Autorisierungscode in aus untere Feld ein Dieser Schritt sollte nur einmal erforderlich sein Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 3 43 Datumsformat Einstellung und Zeitzonen KaZAlyser muss konfiguriert werden damit es mit regionalen Einstellungen Ihrer Computers bereinstimmt W hlen Sie das passende Datumsformat F r Zeitzonen zeigt KaZAlyser zwei verschiedene Datumswerte an die durch Zeitzone und Datumsformat Einstellungen beeinflusst werden Der eine Wert wird aus dbb Dateien oder Teil Downloads der andere aus dem Dateisystem ermittelt im Allgemeinen das Erstellungsdatum und das Datum der letzten nderung bzw des Schreibvorgangs Ontions 1 Gansa Dates Haih Machng Repat Date F nmat Tanken ee Drita ran GMT OON ii bb
48. wingt eine Berichtsvorschau im Ganzseiten Modus d h der Bericht wird in der Gr e so angepasst dass die gesamte Seite angezeigt wird Dieses Icon zeigt den Bericht in der normalen Gr e an Verwenden Sie dieses Symbol um die Seitenansicht auf die Bildschirmbreite folgende Funktionen 8 NHH anzupassen Mit diesen Icons bl ttern Sie zur ersten zur vorherigen zur n chsten und zu letzten Seite Verwenden Sie diese Symbole um ihren Drucker zu konfigurieren und den Bericht zu drucken Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 14 43 g Verwenden Sie diese Icons um Berichte zu laden und zu speichern Berichte k nnen in as 4 verschiedenen Formaten gespeichert werden Save report My Heseni Documents Deski d 2 Huelliscsuneri Er u k Duick Repat ikm ORP F QuckFiepot flal DRAF Tex TT Comma Separatad CH HTML desumen HTM Das vorgegebene und empfohlene Format ist QuickReport file Dieses Format kann nur in Quick Reports oder innerhalb von KaZAlyser ge ffnet werden Dieses Berichtsformat beh lt am besten die Text Formatierung innerhalb des Berichts bei Falls Sie den Bericht in digitaler Form verteilen m ssen w hlen Sie eines der anderen Formate z B Text CSV oder HTML Sanderson Forensics 2003 bersetzung durch PHK Fuhrmann PD Aschaffenburg 15 43 Die Bedeutung der Begriffe Datenbanken Spalten die in gelb angezeigt werd

Download Pdf Manuals

image

Related Search

Related Contents

Page 1 Vectris™ SureScan® MRI 1x8 Subcompact 977A160  Télécharger - Archipel  (GMS) User Guide for Supervisors and Department Heads of  Manual de usuario CPAP PR Remstar pro C-Flex  Vitaprime Manual de instrucciones de servicio/montaje  

Copyright © All rights reserved.
Failed to retrieve file