Isabelle Mirtschink

• In der vorliegenden Arbeit wird auf die Analyse des Encrypting File System (EFS) von Windows in Bezug auf verschiedene forensische Anwendungen eingegangen. Dazu werden die unterschiedlichen Vorgehensweisen der forensichen Anwendungen AXIOM, X-Ways Forensics, Autopsy und IPED analysiert. Ziel der Arbeit ist es zu untersuchen, ob diese forensischen Anwendungen verschlüsselte Dateien erkennen und entschlüsseln können. Dafür wird zu Beginn ein kurzer Überblick über die Entwicklung von Windows und seine Verschlüsselungsmöglichkeiten gegeben. Im Anschluss beschäftigt sich die Arbeit mit den ausgewählten forensischen Programmen und deren Leistung in Bezug auf mit dem Encrypting File System von Windows verschlüsselten Ordnern.
• In this paper, the analysis of the Encrypting File System (EFS) of Windows in relation to different forensic applications is addressed. For this purpose, the different procedures of the forensic applications AXIOM, X-Ways Forensics, Autopsy and IPED are analysed. The aim of the work is to examine whether these forensic applications can recognise and decrypt encrypted files. For this purpose, a short overview of the development of Windows and its encryption possibilities is given at the beginning. Subsequently, the work deals with the selected forensic programmes and their performance in relation to folders encrypted with the Windows Encrypting File System.