for(ensik){blog;}

Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.

Von Andreas Schuster am 02.03.2010, 10:00 Uhr | Permalink

Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.

Von Andreas Schuster am 01.03.2010, 10:00 Uhr | Permalink

Ab sofort steht die Version 1.0.3 des Parsers für Ereignisprotokolle von Vista und Windows 2008 zum Download bereit. Die neue Version behebt einige Fehler und enthält auch kleinere Neuerungen.

Von Andreas Schuster am 25.02.2010, 10:00 Uhr | Permalink

Das US NIST hat Hard- und Software zum Löschen von Festplatten getestet. Verwendet werden diese Löschwerkzeuge zum Beispiel dann, wenn ein während der Fallbearbeitung genutzter Datenträger nicht mehr länger benötigt wird. Das sichere Löschen der Daten soll einerseits verhindern, dass schutzwürdige Informationen unbeabsichtigt verbreitet werden.

Ausserdem müssen Daten, die zu unterschiedlichen Fällen gehören, sauber getrennt werden. Dies ist einfach zu erreichen, indem man für jeden Fall einen eigenen, "sterilen", Datenträger verwendet.

Von Andreas Schuster am 23.02.2010, 10:00 Uhr | Permalink

Der 010 Editor, ein Hex-Editor ist für mich zu einem unverzichtbaren Werkzeug für der Untersuchung von Dateien geworden. Jetzt haben die Autoren die Version 3.1 veröffentlicht, die eine Vielzahl neuer Funktionen enthält.

Von Andreas Schuster am 22.02.2010, 10:00 Uhr | Permalink

Mit der Zeit musste ich leider feststellen, dass unterschiedliche Programme die einzelnen Ereignisse in einer Protokolldatei in unterschiedlicher Reihenfolge ausgeben. Die Ereignisanzeige in Microsoft Vista und Windows 2008 zum Beispiel sortiert beim Exportieren die Ereignisse in absteigender Reihenfolge von der höchsten zur niedrigsten EventRecordID. Mein eigenes Programm hingegen gibt die Ereignisse in der Reihenfolge wieder, wie es sie in der Datei findet. In den meisten Fällen wird dies in aufsteigender Reihenfolge von der niedrigsten zur höchsten EventRecordID sein. Allerdings lassen sich Protokolle auch in ihrer Größe beschränken; der älteste Teil wird dann bei Bedarf überschrieben. Die niedrigste EventRecordID findet man in diesem Fall mitten in der Datei. Wäre es nicht schön, wenn man diese Dateien einfach sortieren könnte?

Von Andreas Schuster am 08.02.2010, 10:00 Uhr | Permalink