Autoruns unterstützt nun auch Offlinemodus


Seit der Version  10 von Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx wird nun ein sogenannter Offlinemodus unterstützt. Dieser erlaubt das Scannen eines Systems von WinPE aus oder von einer eingeklickten separaten Festplatte z. B. eines VHD Images.

Nach dem Aufruf über File->Analyze Offline System muss man nur die Pfade für System Root und User Profile angeben. System Root entspricht in der Regel X:\Windows und User Profile X:\Users\Benutzername. Unter Windows XP wäre das User Profile unter X:\Dokumente und Einstellungen\Benutzername zu finden.

Allerdings gibt es noch ein paar Einschränkungen bzw. Probleme welche in diesem Artikel beschrieben sind: http://computer-forensics.sans.org/blog/2010/06/28/autoruns-dead-forensics/

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: