Bekannte Programme wie EnCase und das Forensic Toolkit können Dokumente untersuchen, die nach den Konventionen des OLE Structured Storage aufgebaut sind. Für den schnellen Blick in ein interessantes Dokument sind diese Programme aber dann doch eine Nummer zu groß. Darum stelle ich in diesem Artikel zwei kleine Spezialisten vor.
Ich habe hier im Blog bereits die Definitionen der Struktur _EPROCESS für einige Kernel-Versionen veröffentlicht. Die Informationen lassen sich, wie beschrieben, mit dem Kernel-Debugger WinDbg aus einem Speicherabbild gewinnen. Aber zuvor muss natürlich erst einmal die gewünschte Windows-Version installiert werden. Wie es erheblich einfacher und schneller geht, erklärt dieser Artikel.
Brian Carrier hat die neuesten Versionen des Sleuth Kit und des Web-Frontends Autopsy veröffentlicht. Die bekannte Open-Source Software ermöglicht die Untersuchung von Dateisystemen.
Die Electronic Frontier Foundation (EFF) meldet das erste Ergebnis bei der Suche nach nahezu unsichtbaren Codierungen in Farbkopien und -drucken.
Tcpxtract ist ein Carver für Datenübertragungen. Das heißt, das Programm kann aus laufendem und aufgezeichnetem Datenverkehr die übertragenen Dateien rekonstruieren. Zur Bestimmung des jeweiligen Dateianfangs und -endes nutzt es dabei charakteristische Bytefolgen einzelner Dateiformate aus. Das Prinzip ist von foremost bekannt, das auf diese Weise Dateien aus Datenträgern wiederherstellt.
In den letzten Tagen hat sich hier einiges geändert, wenngleich nur hinter den Kulissen. Statt der Berkeley-DB greift das Blog jetzt auf eine SQL-Datenbank zu. Betriebssystem, Apache, PHP und Perl wurden auch runderneuert. Ein paar Plugins für MovableType stehen noch aus, aber das kann warten. Jetzt werden erstmal wieder Artikel geschrieben.
In der Reihe Anwender-Club IT-Sicherheit bietet die Niederrheinische Industrie- und Handelskammer in Duisburg am 18.10.2005 einen Firmenvortrag von Vogon zum Thema Handlungsweisen und Methodiken bei Computerdelikten an. Die Teilnahme an der dreistündigen Veranstaltung ist kostenlos. Weitere Informationen gibt es auf der Website der IHK.
Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.
