Archiv September 2005

13.07.2006: DIMVA 2006 in Berlin

Am 13. und 14. Juli 2006 gibt es die dritte Konferenz zu Detection of Intrusions and Malware & Vulnerability Assessment, kurz DIMVA 2006. Veranstalter ist die Fachgruppe SIDAR der Gesellschaft für Informatiik e.V. (GI).

12.10.2005: Forensische Analysen gegen Wirtschaftskriminalität

Die Regionalgruppe Stuttgart/Böblingen der Gesellschaft für Informatik e.V. (GI) bietet am 12. Oktober 2005 um 18:00 Uhr unter dem Thema "Forensische Analysen - gegen Wirtschaftskriminalität" einen Vortrag der Kroll Ontrack GmbH an. Die Teilnahme ist kostenlos. Weitere Informationen und eine Anfahrtsbeschreibung gibt es beim Veranstalter.

Bilderflut

Formatiert man versehentlich die Speicherkarte der Digital-Kamera, dann lässt sich das Mißgeschick in der Regel schnell beheben. Bei einer Videoüberwachung ist das nicht ganz so einfach.

Unternehmen noch nicht bereit für digitale Forensik

Die wenigsten Unternehmen wissen um die Computer Forensik und ihre Möglichkeiten. Dies in etwa ist die Aussage des Information Assurance Advisory Council (IAAC) in seiner Presseerklärung vom 21. September 2005. Fehlende Logdaten erschweren dabei nicht nur die Ermittlung der Täter in Strafverfahren. Auch die gerichtliche Durchsetzung zivilrechtlicher Ansprüche gegen Innentäter scheitert.

Um hier Abhilfe zu schaffen, hat das IAAC einen knapp 100-seitigen kostenlosen Ratgeber veröffentlicht.

_EPROCESS Version 5.0.2195.7045

Dieser Artikel listet die Struktur _EPROCESS von Windows 2000, Service Pack 4. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.

Visualisierung der Prozesshierarchie

Die Analyse des Arbeitsspeichers bringt Spuren längst beendeter Prozesse ans Tageslicht. Nur wie stellt man diese Informationen übersichtlich dar? Für die Prozesshierarchie erweist sich GraphViz als überaus brauchbar. Das Beispiel zeigt eine Kompromittierung mitsamt installiertem Rootkit und Backdoor.

Akquisition (2): Crashdump

Für forensische Untersuchungen des Arbeitsspeicherinhalts bietet sich unter Microsoft Windows auch ein Crashdump an. Allerdings sind hierfür einige Vorbereitungen notwendig.

Dateiformat: Event

Sinn des Eventlog-Dienstes und seiner Dateien ist es natürlich, Ereignisse zu protokollieren. Dass ich die wichtigste aller Datensatzarten, nämlich den Ereignis-Satz, erst jetzt beschreibe, liegt einfach daran, dass Microsoft die Struktur EVENTLOGRECORD ausführlich beschrieben hat. Zu verdanken ist dieser Umstand wohl der Tatsache, dass ReadEventLog() Ereignis-Sätze aus einer Protokolldatei unverändert durchreicht.

Akquisition (1): dd

Die Sicherung volatiler Daten ist eine besondere Herausforderung in der Computer-Forensik. Unter Microsoft Windows ist die Kopie mit dd die einfachste Methode, den Arbeitsspeicher zu sichern. Es gibt nur einen kleinen Schönheitsfehler: Ab Windows Server 2003 SP1 funktioniert das nicht mehr.

Ein Format für Alle?

EnCase, FTK und dd, alle können forensische Abbilder von Datenträgern erzeugen. Doch alle verwenden unterschiedliche Formate mit unterschiedlichen Fähigkeiten. Simson L. Garfinkel will dem jetzt mit seinem Advanced Forensics Format abhelfen.

Eventlog Blog

Eine Fülle interessanter Informationen zum Eventlog bietet Eric Fitz in seinem Blog Windows Security Logging and Other Esoterica.

SecurityFocus: Packet forensics using TCP

Don Parker und Mike Sues erklären in ihrem kurzen Artikel die Bedeutung der Sequence- und Acknowledgement-Numbers des Transmission Control Protocol (TCP).

Dateiformat: Cursor

Der Cursor markiert das logische Ende einer Eventlog-Datei. Dass dies nicht unbedingt auch das physische Ende sein muss, irritiert zahlreiche Programme. Wer deshalb ein Log von Hand mit dem Hexeditor auswerten muss, wird den Cursor doppelt zu schätzen wissen: seine auffällige Magic ist nicht zu übersehen und im Gegensatz zum Header sind die Daten auch immer aktuell.

21.09.2005: IHK Stuttgart, Digitale Forensik

Zu einer halbtägigen Veranstaltung lädt die IHK Stuttgart am 21. September 2005 ein. Neben einem Firmenvortrag von Kroll Ontrack stehen zwei Referate mit juristischem Hintergrund auf dem Programm. Zielgruppe sind nach Angaben des Veranstalters Geschäftsführer und IT-Verantwortliche von KMU.

Dateiformat: Header

Der Header ist ein gutes Kriterium, um Logdateien als solche zu identifizieren. Er enthält einige Informationen zum Aufbau der Datei. Gültig sind die meisten Daten jedoch nur bei geschlossenen Logdateien.

Dateiformat: Übersicht

Dieser Artikel gibt eine Übersicht über den Aufbau der Protokolldateien (.EVT) des Eventlogs von Microsoft Windows NT, 2000, XP und dem Windows Server 2003.

NT Eventlog: Übersicht

Windows NT enthält seit Version 3.5 einen System Logger, genannt Eventlog Service. Die von Microsoft erhältliche Dokumentation beschränkt sich auf die meisten der Konfigurationsoptionen in der Registry und die Struktur eines Ereignis-Datensatzes. Das mag ausreichen, um die Datensätze auszulesen. Gerade die undokumentierten Bereiche können jedoch für die Forensik sehr interessant sein.

Fernsehen bildet - auch Täter?

Fernsehserien wie Crime Scene Investigation erhöhen die Erwartungshaltung der Geschworenen und mahnen Täter zur Vorsicht - sagt Rowan Hooper im New Scientist.

22.09.2005: IT-Forensik auf der SKVU

Im Rahmen der 35. Jahrestagung der Gesellschaft für Informatik e.V. in Bonn veranstaltet die Fachgruppe SIDAR am Donnerstag, den 22.09.2005 einen Workshop zur "Sicherheit in vernetzten, komplexen Umgebungen". Für IT-Forensiker interessant: in der zweiten Session spricht Knut Eckstein über die "Forensische Analyse komplexer Unix-Dateisysteme". Knut Eckstein ist bekannt durch seine Portierung des Coroner Toolkits (TCT) auf HP-UX.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12