for(ensik){blog;}

Bekannte Programme wie EnCase und das Forensic Toolkit können Dokumente untersuchen, die nach den Konventionen des OLE Structured Storage aufgebaut sind. Für den schnellen Blick in ein interessantes Dokument sind diese Programme aber dann doch eine Nummer zu groß. Darum stelle ich in diesem Artikel zwei kleine Spezialisten vor.

Von Andreas Schuster am 29.10.2005, 13:20 Uhr | Permalink

Ich habe hier im Blog bereits die Definitionen der Struktur _EPROCESS für einige Kernel-Versionen veröffentlicht. Die Informationen lassen sich, wie beschrieben, mit dem Kernel-Debugger WinDbg aus einem Speicherabbild gewinnen. Aber zuvor muss natürlich erst einmal die gewünschte Windows-Version installiert werden. Wie es erheblich einfacher und schneller geht, erklärt dieser Artikel.

Von Andreas Schuster am 23.10.2005, 11:45 Uhr | Permalink

Brian Carrier hat die neuesten Versionen des Sleuth Kit und des Web-Frontends Autopsy veröffentlicht. Die bekannte Open-Source Software ermöglicht die Untersuchung von Dateisystemen.

Von Andreas Schuster am 17.10.2005, 21:44 Uhr | Permalink

Die Electronic Frontier Foundation (EFF) meldet das erste Ergebnis bei der Suche nach nahezu unsichtbaren Codierungen in Farbkopien und -drucken.

Von Andreas Schuster am 17.10.2005, 20:42 Uhr | Permalink

Tcpxtract ist ein Carver für Datenübertragungen. Das heißt, das Programm kann aus laufendem und aufgezeichnetem Datenverkehr die übertragenen Dateien rekonstruieren. Zur Bestimmung des jeweiligen Dateianfangs und -endes nutzt es dabei charakteristische Bytefolgen einzelner Dateiformate aus. Das Prinzip ist von foremost bekannt, das auf diese Weise Dateien aus Datenträgern wiederherstellt.

Von Andreas Schuster am 13.10.2005, 06:00 Uhr | Permalink

In den letzten Tagen hat sich hier einiges geändert, wenngleich nur hinter den Kulissen. Statt der Berkeley-DB greift das Blog jetzt auf eine SQL-Datenbank zu. Betriebssystem, Apache, PHP und Perl wurden auch runderneuert. Ein paar Plugins für MovableType stehen noch aus, aber das kann warten. Jetzt werden erstmal wieder Artikel geschrieben.

Von Andreas Schuster am 10.10.2005, 22:44 Uhr | Permalink

In der Reihe Anwender-Club IT-Sicherheit bietet die Niederrheinische Industrie- und Handelskammer in Duisburg am 18.10.2005 einen Firmenvortrag von Vogon zum Thema Handlungsweisen und Methodiken bei Computerdelikten an. Die Teilnahme an der dreistündigen Veranstaltung ist kostenlos. Weitere Informationen gibt es auf der Website der IHK.

Von Andreas Schuster am 07.10.2005, 21:05 Uhr | Permalink

Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.

Von Andreas Schuster am 01.10.2005, 16:15 Uhr | Permalink