for(ensik){blog;}

Mit der Zeit musste ich leider feststellen, dass unterschiedliche Programme die einzelnen Ereignisse in einer Protokolldatei in unterschiedlicher Reihenfolge ausgeben. Die Ereignisanzeige in Microsoft Vista und Windows 2008 zum Beispiel sortiert beim Exportieren die Ereignisse in absteigender Reihenfolge von der höchsten zur niedrigsten EventRecordID. Mein eigenes Programm hingegen gibt die Ereignisse in der Reihenfolge wieder, wie es sie in der Datei findet. In den meisten Fällen wird dies in aufsteigender Reihenfolge von der niedrigsten zur höchsten EventRecordID sein. Allerdings lassen sich Protokolle auch in ihrer Größe beschränken; der älteste Teil wird dann bei Bedarf überschrieben. Die niedrigste EventRecordID findet man in diesem Fall mitten in der Datei. Wäre es nicht schön, wenn man diese Dateien einfach sortieren könnte?

Von Andreas Schuster am 08.02.2010, 10:00 Uhr | Permalink

Nachdem ich vor zwei Jahren einen ersten Parser für die binären, XML-basierten Ereignisprotokolle von Windows Vista veröffentlicht hatte, erreichten mich in der letzten Zeit einige Rückmeldungen zu dem Programm. Als Weihnachtsgeschenk gibt es dieses Jahr deshalb eine verbesserte und erweiterte Version dieses Werkzeugs.

Von Andreas Schuster am 22.12.2009, 10:00 Uhr | Permalink

Vor vier Jahren, auf dem DFRWS 2005, wurden die ersten Werkzeuge zur Windows-Speicheranalyse präsentiert. Langsam finden die seitdem entwickelten Methoden Eingang in kommerzielle Werkzeuge. Auch das kürzlich von AccessData öffentlich vorgestellte Forensic Toolkit 3 bietet jetzt einige Funktionen zur Untersuchung von Windows-Speicherabbildern.

Von Andreas Schuster am 06.10.2009, 10:00 Uhr | Permalink

AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.

Von Andreas Schuster am 02.06.2009, 10:00 Uhr | Permalink

Csaba Barta hat PTFinders für Windows Server 2003 SP2, Windows Server 2008 SP1 und die öffentlich zugängliche Beta von Windows 7 entwickelt. Auch die anderen Bereiche seiner Website sind recht interessant.

Von Andreas Schuster am 08.05.2009, 10:00 Uhr | Permalink

Tableau hat mit dem T9 nun auch einen Writeblocker für Geräte mit FireWire-Interface im Angebot. Damit sollen sich portable Festplatten und Apple Macs im Target Disk Mode sichern lassen. Von der Bauform und Bedienung her scheint der T9 weitgehend dem bekannten T8 zu entsprechen, über den sich USB-Geräte schreibgeschützt ansprechen lassen.

Von Andreas Schuster am 27.04.2009, 10:00 Uhr | Permalink