Die eMule known.met enthält Informationen zu den per eMule heruntergeladenen Dateien. Auch wenn die heruntergeladenen Dateien bereits von einem System gelöscht wurden, dann sind die Informationen noch in der known.met hinterlegt. Ein Computer-Forensiker ist natürlich auch an diesen Spuren interessiert.

Es existieren einige Tools auf dem Markt, die eine known.met Datei einlesen können:

• eMule MET Viewer – siehe http://gaijin.at/dlemmetview.php
• MetMedic – siehe http://www.emule-web.de/board/1126-metmedic.html

Möchte man nun nicht komplett diesen Tools vertrauen, dann sollte man sich den eMule Quellcode der zu untersuchenden eMule Version besorgen und diesen durchkompilieren.

Den aktuellen Quellcode, sowie alle vorherigen Versionen findet man stets unter dem sourceforge Projekt http://sourceforge.net/projects/emule/.

Ersetzt man nun die leere known.met des Testsystems mit der zu untersuchenden known.met und startet den selbst kompilierten eMule Client, so kann man die Ausgabe der oben genannten Tools verifizieren.

Meine Empfehlung an dieser Stelle: der eMule Mod MorphXT. Dieser hat bereits eine Erweiterung für die Anzeige der nicht mehr auf dem System befindlichen Dateien:

Man kann nun das Spielchen weiter treiben und diesen eMule Mod weiter entwickeln. Zum Beispiel um die Download History Dateien gegen eigene Hashsets abzugleichen. Oder eine Erweiterung um eine Exportfunktion in das gewünschte Format.