for(ensik){blog;}

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Von Andreas Schuster am 30.08.2010, 10:00 Uhr | Permalink

Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.

Von Andreas Schuster am 07.05.2010, 10:00 Uhr | Permalink

Es liegt 'was in der Luft... und zwar Vulkanasche. Wegen der daraus resultierenden Einschränkungen für den Luftverkehr konnte ein großer Teil der Teilnehmer und Referenten nicht zum SANS Forensics Summit nach London anreisen, so dass die Veranstaltung abgesagt wurde.

In meinem Vortrag wollte ich Fragen zum Dateiformat des Windows Ereignisprotokolls beantworten, die in letzter Zeit an mich herangetragen wurden. Wenn auch die mündlichen Erklärungen fehlen, so möchte ich wenigstens die Folien meines Vortrags veröffentlichen.

Von Andreas Schuster am 19.04.2010, 07:30 Uhr | Permalink

Version 1.0.4 des Eventlog-Parsers für Microsoft Vista und Windows 2008 steht jetzt zum Download bereit. Diese Version behebt wieder einige Fehler und überprüft nun auch die Integrität der Ereignis-Daten.

Von Andreas Schuster am 25.03.2010, 10:00 Uhr | Permalink

Die Trennung von Struktur und Inhalt ist zusammen mit dem Substitutions-Mechanismus eines der grundlegenden Konzepte des Ereignisprotokolls. In die Beschreibung der XML-Struktur sind Platzhalter eingebettet, die mit Werten aus dem SubstitutionArray, einer Tabelle am Ende des jeweiligen Protokolleintrags, gefüllt werden. Wann immer ein Eintrag in dieser Tabelle dem "Wert" NullType enthält, wird in der XML-Struktur der zugehörige Platzhalter mitsamt des ihn umgebenden XML-Elements unterdrückt. Die mit NullTypes gefüllten Einträge der Tabelle enthalten sonst keine weiteren Daten. Jedenfalls nahm ich das an, bis ich mich kürzlich überraschen lassen musste.

Von Andreas Schuster am 11.03.2010, 10:00 Uhr | Permalink

Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.

Von Andreas Schuster am 02.03.2010, 10:00 Uhr | Permalink