Er zijn heel wat plekjes waar data zeer lastig te vinden is op een computer – en dat ‘verbergen’ hoeft niet altijd heel bewust te gebeuren. Wil je – op je eigen pc – zonder veel moeite (of kennis) uitvissen welke gegevens her en der verstopt zitten, dan zit je bij PCFerret aan het juiste adres.
Het hoofdvenster van PCFerret bestaat uit een 7-tal tabbladen, waarbij elk tabblad zich op andere gegevenstypes focust. Zo vertelt het tabblad Quick System Details je onder meer de gebruikers- en computernaam, de lokale ip-adressen, het totale en beschikbare geheugen, het besturingssysteem, de pc-fabrikant en kom je enige informatie over het moederbord te weten. Wil je (veel) uitgebreider systeeminformatie, dan klop je op het tweede tabblad aan: Full System Details. De informatie die je hier te weten komt valt min of meer te vergelijken met wat de systeeminformatietool van Windows (en van derde partijen) je biedt.
[download_file]
Op de eerste twee tabbladen vind je dus weinig echte ‘forensische’ informatie, maar het tabblad ADS gaat al duidelijk meer in de richting. ADS staat voor Alternate Data Streams en is een techniek die toelaat dat je gegevens in een bestand stopt die niet zomaar zichtbaar zijn. PCFerret laat je toe zulke ‘verborgen’ informatie alsnog op te sporen en te openbaren. Je moet wel zelf aangeven in welke mappen of bestandstypes je naar zulke ADS wilt speuren. Het tabblad Find Files By Type is weinig meer dan een krachtige lokale zoekmachine, waarbij je in een lijst aangeeft in welke bestandsextensies of –types (zoals Executable, Images, Movies, Compression of Encryption) je geïnteresseerd bent.
Op zoek naar eerder bekeken foto’s of video’s die via een de geïnstalleerde browser(s) zijn binnengehaald? Het tabblad Browser Media maakt het je dan wel heel gemakkelijk. Je stipt aan in welke mediatypes (Images of Movies – inclusief een optie om minimale afmetingen mee te geven) je geïnteresseerd bent, in welke browser(s) je wilt zoeken en bij welke gebruikersaccounts, en PCFerret doet de rest. Alle (in de cache) gevonden bestanden worden razendsnel opgelijst en laten zich meteen bekijken via miniatuurafbeeldingen. Het tabblad Cached URLs doet iets gelijkaardigs, alleen krijg je deze keer een overzicht van alle URL’s (webadressen) die de browsers in hun cache hebben opgeslagen. Met een muisklik kun je zo’n URL dan effectief ook weer in de browser openen. Op deze manier kun je de surfsporen van de gebruiker goed in kaart brengen.
PCFerret vergt dus nauwelijks of geen voorkennis om snel “verborgen” data op een systeem op te sporen. Het is echter zeker niet de meest krachtige forensische tool die we kennen.
We moeten er wel nog bij vermelden dat de ontwikkelaar van PCFerret de tool niet langer gratis aanbiedt. De versie die wij hier aanbieden is gratis, maar nieuwere versies worden alleen nog tegen betaling aangeboden.
