Evtx Parser Version 1.1.1

Evtx Parser, die Perl Bibliothek und Skriptsammlung zum Auslesen von Windows Ereignisprotokollen ist ab sofort in Version 1.1.1 verfügbar. Diese Version beseitigt ein Speicherleck. Ich danke Heinz Mueller für die Fehlermeldung und Hilfe beim Testen.

Evtx Parser Version 1.1.0

Ich freue mich, nach längerer Entwicklungszeit eine neue Version meines Evtx Parsers veröffentlichen zu können. Version 1.1.0 erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen.

Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind jetzt als Download (ZIP) verfügbar.

Forensic Technologies Preview Day 2011

Praktiker schätzen die mh Service GmbH in Karlsruhe seit Jahren als Lieferant von Hard- und Software für die IT-Forensik. Am 11. und 12. Oktober 2011 veranstaltet das Unternehmen zum dritten Mal seine Hausmesse, den Forensic Technologies Preview Day, mit Fachvorträgen und Workshops.

Evtx Parser Version 1.0.8

Meine Bibliothek und Programmsammlung zum Auslesen von Windows Ereignisprotokollen ist in Version 1.0.8 erschienen. Während es nur kleinere Verbesserungen am Programmcode gibt, hat sich die Organisation des Archivs grundlegend geändert. Ich entschuldige mich schon vorab für etwaige Unannehmlichkeiten, die diese Änderung verursacht. Die aktuelle Version ist hier verfügbar.

Speicheranalyse von OS X mit Volafox

Kyeong-Sik Lee und das Korean Digital Forensic Research Center haben Volafox, eine quelloffene Software zur Analyse von Mac OS X Arbeitsspeicherabbildern, veröffentlicht. Volafox basiert auf der Arbeit von Matthieu Suiche (Artikel und Präsentation) und dem Volatility Framework für die forensische Untersuchung von Arbeitsspeicherabbildern.

10.05.2011: IMF 2011

Vom 10. bis 12.5.2011 findet die sechste International Conference on IT Security Incident Management & IT-Forensics statt. Während der Termin der Konferenz vom Herbst in das Frühjahr wechselte, bleibt der Veranstaltungsort beim Fraunhofer Institut IAO in Stuttgart bestehen. Der Call for Papers ist offen; Stichtag für Einreichungen ist der 3. Januar 2011. Weitere Informationen gibt es auf der Website der Konferenz.

01.12.2010: Seminar Multimedia-Forensik

Die Carl-Cranz Gesellschaft e.V. veranstaltet am 1. und 2.12.2010 in Oberpfaffenhofen einen Workshop zur Multimedia-Forensik. Referenten sind Prof. Dr. Rainer Böhme (WWU Münster), Thomas Gloe und Matthias Kirchner (beide TU Dresden). Die Teilnahmegebühr beträgt 999,00 EUR. Ein ausführliches Programm sowie weitere Informationen zu Anreise und Hotels gibt es beim Veranstalter.

FTK Imager 3.0

Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.

CarvFS auf dem Mac

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Evtx Parser Version 1.0.5

Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12