Archiv Oktober 2005

OLE Structured Storage lesen

Bekannte Programme wie EnCase und das Forensic Toolkit können Dokumente untersuchen, die nach den Konventionen des OLE Structured Storage aufgebaut sind. Für den schnellen Blick in ein interessantes Dokument sind diese Programme aber dann doch eine Nummer zu groß. Darum stelle ich in diesem Artikel zwei kleine Spezialisten vor.

Typinformationen in PDB Dateien lesen

Ich habe hier im Blog bereits die Definitionen der Struktur _EPROCESS für einige Kernel-Versionen veröffentlicht. Die Informationen lassen sich, wie beschrieben, mit dem Kernel-Debugger WinDbg aus einem Speicherabbild gewinnen. Aber zuvor muss natürlich erst einmal die gewünschte Windows-Version installiert werden. Wie es erheblich einfacher und schneller geht, erklärt dieser Artikel.

The Sleuth Kit v2.03 und Autopsy v.2.06

Brian Carrier hat die neuesten Versionen des Sleuth Kit und des Web-Frontends Autopsy veröffentlicht. Die bekannte Open-Source Software ermöglicht die Untersuchung von Dateisystemen.

Informationen in Farddrucken und Kopien

Die Electronic Frontier Foundation (EFF) meldet das erste Ergebnis bei der Suche nach nahezu unsichtbaren Codierungen in Farbkopien und -drucken.

tcpxtract Version 1.0

Tcpxtract ist ein Carver für Datenübertragungen. Das heißt, das Programm kann aus laufendem und aufgezeichnetem Datenverkehr die übertragenen Dateien rekonstruieren. Zur Bestimmung des jeweiligen Dateianfangs und -endes nutzt es dabei charakteristische Bytefolgen einzelner Dateiformate aus. Das Prinzip ist von foremost bekannt, das auf diese Weise Dateien aus Datenträgern wiederherstellt.

Letzte Änderungen

In den letzten Tagen hat sich hier einiges geändert, wenngleich nur hinter den Kulissen. Statt der Berkeley-DB greift das Blog jetzt auf eine SQL-Datenbank zu. Betriebssystem, Apache, PHP und Perl wurden auch runderneuert. Ein paar Plugins für MovableType stehen noch aus, aber das kann warten. Jetzt werden erstmal wieder Artikel geschrieben.

18.10.2005: Vortrag Handlungsweisen und Methodiken bei Computerdelikten

In der Reihe Anwender-Club IT-Sicherheit bietet die Niederrheinische Industrie- und Handelskammer in Duisburg am 18.10.2005 einen Firmenvortrag von Vogon zum Thema Handlungsweisen und Methodiken bei Computerdelikten an. Die Teilnahme an der dreistündigen Veranstaltung ist kostenlos. Weitere Informationen gibt es auf der Website der IHK.

Akquisition (3): LiveKd

Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12