for(ensik){blog;}

Als leicht verspätetes Weihnachtsgeschenk hat Smart Projects die Version 1.9 des ISO Busters freigegeben. Die Liste der Änderungen ist recht umfangreich.

ISO Buster ermöglicht den Zugriff auf Abbilder von CD/DVD im ISO-Format und proprietären Formaten einiger Brenn-Programme. Ausserdem, und da wird es für die Forensik interessant, lassen sich gezielt Sessions eines Mediums lesen und Daten aus einem beschädigten UDF-Dateisystem wiederherstellen.

Von Andreas Schuster am 27.12.2005, 22:25 Uhr | Permalink

Michele Larese hat für WinHex Templates erstellt, die UFS1 und UFS2 Strukturen parsen. Verarbeitet werden Superblock, Cylinder Group Descriptor und Inode. Es gibt jeweils Versionen für little-endian und big-endian Darstellung.
Alle Templates sind auf der Webseite des Herstellers verlinkt.

Von Andreas Schuster am 21.12.2005, 22:15 Uhr | Permalink

Jobs fassen eine Anzahl Prozesse zusammen. Dem Job-Objekt sind dabei kaum mehr Informationen als eine Liste aller zugeordneten Prozesse und einige Accounting-Informationen zu entnehmen. Insbesondere enthält es keine Informationen zu Start- und Endzeitpunkt. Für eine forensische Analyse des Arbeitsspeichers halte ich Jobs deswegen nicht für bedeutsam; die in einem Job zusammengefassten Prozesse und ihre Threads enthalten mehr und interessantere Informationen.

Von Andreas Schuster am 20.12.2005, 14:30 Uhr | Permalink

Das zweite auf dem DFRWS 2005 vorgestellte Programm zur Speicheranalyse stammt von George M. Garner und Robert-Jan Mora. Kntlist wertet wie MemParser Listen des Kernels aus, allerdings in weitaus größerem Umfang. Der Abgleich der Listen gegeneinander soll Manipulationen aufdecken.

Von Andreas Schuster am 20.12.2005, 11:05 Uhr | Permalink

Bislang habe ich für die Logdateien des Eventlog-Dienstes von Windows NT den Header und den Cursor beschrieben. Für den wichtigsten Satztyp, nämlich den Ereigniseintrag, gibt es bekanntlich eine nahezu vollständige Beschreibung im Microsoft Developer Network. Um die tägliche Arbeit etwas zu erleichtern, habe ich diese Strukturen in Templates für den 010 Editor von Sweetscape und die Produkte von X-Ways umgesetzt. Die Templates stehen auf den angegebenen Webseiten der Hersteller zum Download bereit. Über Verbesserungsvorschläge und Erfahrungen im Einsatz der Templates würde ich mich freuen.

Von Andreas Schuster am 19.12.2005, 18:30 Uhr | Permalink

Wie ich erst jetzt bemerkt habe, gibt es das Multi-System & Internet Security Cookbook, kurz MISC Magazin, seit dem 14. Oktober auch in deutscher Sprache.

Von Andreas Schuster am 18.12.2005, 17:35 Uhr | Permalink

Der diesjährige Digital Forensics Research Workshop in New Orleans förderte mit seiner Memory Challenge die Entwicklung von Programmen zur Analyse von Speicherabbildern. Eines der beiden ausgezeichneten Programme ist MemParser von Chris Betz.

Von Andreas Schuster am 16.12.2005, 17:50 Uhr | Permalink

Mariusz Burdach bietet auf seiner Website ein kleines Toolkit an, das ein Speicherabbild nach Prozessen und Modulen durchsucht. Ein kurzer Artikel beschreibt den Hintergrund des Toolskits und hilft, die zu seinem Einsatz benötigten Adressen einiger Kernel-Variablen zu bestimmen.

Von Andreas Schuster am 15.12.2005, 12:45 Uhr | Permalink

Über den Einsatz von GraphViz zur Visualisierung von Prozesshierarchien hatte ich hier schon berichtet. Bislang hatte ich aus den DOT-Dateien von Hand Grafiken erstellt und diese dann betrachtet. Einfacher, schneller und speicherplatzsparender geht es jedoch mit dem ZGRviewer.

Von Andreas Schuster am 14.12.2005, 09:15 Uhr | Permalink

(Read this article in English.)

Der Windows-Kernel legt für jeden Prozess und jeden Thread ein gesondertes Objekt in seinem Speicher an. Diese Objekte lassen sich aus einem Speicherabbild extrahieren, wobei sogar bereits beendete Prozesse und Threads nachgewiesen werden können. Die Daten enthalten auch Zeitstempel.

Von Andreas Schuster am 13.12.2005, 09:00 Uhr | Permalink

Dieser Artikel listet die Struktur _ETHREAD von Windows 2000. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.

Von Andreas Schuster am 12.12.2005, 14:01 Uhr | Permalink

Zum 13. Mal veranstaltet das DFN-CERT nun seinen Workshop "Sicherheit in vernetzten Systemen". Die Veranstaltung beginnt am 1. März 2006 im Saal 4 des CCH am Bahnhof Dammtor.

Von Andreas Schuster am 07.12.2005, 17:35 Uhr | Permalink

Die Herbstausgabe des International Journal of Digital Evidence (IJDE) ist veröffentlicht. Das kostenlose Magazin enthält diesmal neben dem Editorial drei Artikel.

Von Andreas Schuster am 07.12.2005, 11:02 Uhr | Permalink

Für den 18. und 19. Oktober 2006 plant die Fachgruppe SIDAR der Gesellschaft für Informatik e.V. (GI) eine international ausgerichtete Veranstaltung nach Art der IMF 2003 (Incident Management and Forensics).

Update 07.12.2005: Der CfP ist veröffentlicht. Einsendeschluß ist der 17.04.2006.

Von Andreas Schuster am 07.12.2005, 10:00 Uhr | Permalink

Freud und Leid kann so nahe bei einander liegen. Eben noch die Freude über die MItteilung des MS-Supports zu zwei undokumentierten Werten im neuen Logformat. Dann die Verwunderung, warum der Support meine Beispieldateien nicht öffnen kann. Nach der Installation der Vista Build 5259 kenne ich jetzt die Antwort: das Logformat hat sich geändert! Gehe zurück auf Los... So ist das eben, wenn man in undokumentierten Datenstrukturen von Beta-Software herumstochert.

Von Andreas Schuster am 05.12.2005, 11:55 Uhr | Permalink

Windows Vista wird uns mit einem vollständig neues Format für die Logdateien konfrontieren. Auch der neue Eventviewer wird leistungsfähiger als sein NT-Urvater sein. Als Forensiker will man jedoch auch noch Fragmente eines Logs auswerten, möglicherweise sogar auf einem anderen Betriebssystem als Longhorn oder Vista. Da erweist sich die lückenhafte Dokumentation des Formats als ausgesprochen hinderlich.

Von Andreas Schuster am 05.12.2005, 11:37 Uhr | Permalink