Termine
Am 13. und 14. Juli 2006 gibt es die dritte Konferenz zu Detection of Intrusions and Malware & Vulnerability Assessment, kurz DIMVA 2006. Veranstalter ist die Fachgruppe SIDAR der Gesellschaft für Informatiik e.V. (GI).
Termine
Die Regionalgruppe Stuttgart/Böblingen der Gesellschaft für Informatik e.V. (GI) bietet am 12. Oktober 2005 um 18:00 Uhr unter dem Thema "Forensische Analysen - gegen Wirtschaftskriminalität" einen Vortrag der Kroll Ontrack GmbH an. Die Teilnahme ist kostenlos. Weitere Informationen und eine Anfahrtsbeschreibung gibt es beim Veranstalter.
Labor
Formatiert man versehentlich die Speicherkarte der Digital-Kamera, dann lässt sich das Mißgeschick in der Regel schnell beheben. Bei einer Videoüberwachung ist das nicht ganz so einfach.
Randnotizen
Die wenigsten Unternehmen wissen um die Computer Forensik und ihre Möglichkeiten. Dies in etwa ist die Aussage des Information Assurance Advisory Council (IAAC) in seiner Presseerklärung vom 21. September 2005. Fehlende Logdaten erschweren dabei nicht nur die Ermittlung der Täter in Strafverfahren. Auch die gerichtliche Durchsetzung zivilrechtlicher Ansprüche gegen Innentäter scheitert.
Um hier Abhilfe zu schaffen, hat das IAAC einen knapp 100-seitigen kostenlosen Ratgeber veröffentlicht.
Speicheranalyse
Dieser Artikel listet die Struktur _EPROCESS von Windows 2000, Service Pack 4. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.
Visualisierung
Die Analyse des Arbeitsspeichers bringt Spuren längst beendeter Prozesse ans Tageslicht. Nur wie stellt man diese Informationen übersichtlich dar? Für die Prozesshierarchie erweist sich GraphViz als überaus brauchbar. Das Beispiel zeigt eine Kompromittierung mitsamt installiertem Rootkit und Backdoor.
Termine
Vom 2. bis 6. Oktober 2006 veranstaltet die Gesellschaft für Informatik e.V. (GI) ihre Jahrestagung in Dresden. Gastgeber vor Ort wird die Technische Universität sein.
Speicheranalyse
Für forensische Untersuchungen des Arbeitsspeicherinhalts bietet sich unter Microsoft Windows auch ein Crashdump an. Allerdings sind hierfür einige Vorbereitungen notwendig.
NT Eventlog
Sinn des Eventlog-Dienstes und seiner Dateien ist es natürlich, Ereignisse zu protokollieren. Dass ich die wichtigste aller Datensatzarten, nämlich den Ereignis-Satz, erst jetzt beschreibe, liegt einfach daran, dass Microsoft die Struktur EVENTLOGRECORD ausführlich beschrieben hat. Zu verdanken ist dieser Umstand wohl der Tatsache, dass ReadEventLog() Ereignis-Sätze aus einer Protokolldatei unverändert durchreicht.
Speicheranalyse
Die Sicherung volatiler Daten ist eine besondere Herausforderung in der Computer-Forensik. Unter Microsoft Windows ist die Kopie mit dd die einfachste Methode, den Arbeitsspeicher zu sichern. Es gibt nur einen kleinen Schönheitsfehler: Ab Windows Server 2003 SP1 funktioniert das nicht mehr.
Randnotizen
EnCase, FTK und dd, alle können forensische Abbilder von Datenträgern erzeugen. Doch alle verwenden unterschiedliche Formate mit unterschiedlichen Fähigkeiten. Simson L. Garfinkel will dem jetzt mit seinem Advanced Forensics Format abhelfen.
NT Eventlog
Eine Fülle interessanter Informationen zum Eventlog bietet Eric Fitz in seinem Blog Windows Security Logging and Other Esoterica.
Netzwerk-Forensik
Don Parker und Mike Sues erklären in ihrem kurzen Artikel die Bedeutung der Sequence- und Acknowledgement-Numbers des Transmission Control Protocol (TCP).
NT Eventlog
Der Cursor markiert das logische Ende einer Eventlog-Datei. Dass dies nicht unbedingt auch das physische Ende sein muss, irritiert zahlreiche Programme. Wer deshalb ein Log von Hand mit dem Hexeditor auswerten muss, wird den Cursor doppelt zu schätzen wissen: seine auffällige Magic ist nicht zu übersehen und im Gegensatz zum Header sind die Daten auch immer aktuell.
Termine
Zu einer halbtägigen Veranstaltung lädt die IHK Stuttgart am 21. September 2005 ein. Neben einem Firmenvortrag von Kroll Ontrack stehen zwei Referate mit juristischem Hintergrund auf dem Programm. Zielgruppe sind nach Angaben des Veranstalters Geschäftsführer und IT-Verantwortliche von KMU.
NT Eventlog
Der Header ist ein gutes Kriterium, um Logdateien als solche zu identifizieren. Er enthält einige Informationen zum Aufbau der Datei. Gültig sind die meisten Daten jedoch nur bei geschlossenen Logdateien.
Termine
Am 16. September lädt der Arbeitskreis "Sicherheit" des eco e.V. in die Geschäftsräume der Secorvo GmbH nach Karlsruhe ein. Im Mittelpunkt der halbtägigen Veranstaltung steht der Vortrag Forensik: Tarnung, Tools und Techniken von Jochen Schlichting. Die Teilnahme ist kostenlos, eine Anmeldung ist erforderlich. Weitere Informationen gibt es hier.
NT Eventlog
Dieser Artikel gibt eine Übersicht über den Aufbau der Protokolldateien (.EVT) des Eventlogs von Microsoft Windows NT, 2000, XP und dem Windows Server 2003.
NT Eventlog
Windows NT enthält seit Version 3.5 einen System Logger, genannt Eventlog Service. Die von Microsoft erhältliche Dokumentation beschränkt sich auf die meisten der Konfigurationsoptionen in der Registry und die Struktur eines Ereignis-Datensatzes. Das mag ausreichen, um die Datensätze auszulesen. Gerade die undokumentierten Bereiche können jedoch für die Forensik sehr interessant sein.
Randnotizen
Fernsehserien wie Crime Scene Investigation erhöhen die Erwartungshaltung der Geschworenen und mahnen Täter zur Vorsicht - sagt Rowan Hooper im New Scientist.
Termine
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.