« Dezember 2005 | Übersicht | Februar 2006 »
Labor
In einem Online-Seminar gibt Michael Gurzi Hinweise zum Aufbau eines IT-Forensik Labors. Er demonstriert dabei ausführlich die Installation des Network Authentication Servers für die Analysesoftware EnCase.
Randnotizen
Das US-CERT bietet in Zusammenarbeit mit der Carnegie Mellon University ein Online-Training für Computer Forensik und weitere Bereiche der IT-Sicherheit an.
Randnotizen
Nicht jede zur Untersuchung eingelieferte Festplatte ist auch lesbar. Verschlüsselung? Keineswegs, eine Festplatte kann viele Tode sterben. Manchmal passiert das reihenweise, wie sich an den Seriennummern leicht erkennen lässt. Die Geräusche typischer Defekte hat Hitachi, Erbe der "legendären" IBM Festplattensparte, aufgenommen. Schaurig-schön!
(Via Computer Woche Notizblog)
Speicheranalyse
Dieser Artikel listet die Struktur _ETHREAD des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Speicheranalyse
Dieser Artikel listet die Struktur _EPROCESS des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Speicheranalyse
Dieser Artikel listet die Struktur _ETHREAD von Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Speicheranalyse
Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Speicheranalyse
Dieser Artikel listet die Struktur _ETHREAD von Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Speicheranalyse
Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Bibliothek
Nach welchen Kriterien wählen IT-Forensiker ihre Analyse-Software aus? Dieser Frage ging Rory V. O'Connor in seinem Artikel Software selection: towards an understanding of forensic software tool selection in industrial practice nach.
Bibliothek
Mit der Erstellung von Profilen befasst sich Tamas Abraham in seinem Artikel Event Sequence Mining to Develop Profiles for Computer Forensic Investigation Purposes.
Labor
Windows
Die Warnung der Gartner Group vor Gefahren durch Metadaten war mir dann doch einen kurzen Versuch wert. Ergebnis: die Metadaten sind in einem ADS abgelegt. Beim Versand per E-Mail oder Kopieren der Datei auf ein FAT-Volume werden die Metadaten automatisch entfernt.
Windows
Labor
Die erste Version des MiTeC OLE StructuredStorage Viewer hatte ich bereits kurz vorgestellt. Programmautor Michal Mutl hat jetzt die Version 2.0 freigegeben, die einige Fehler beseitigt.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.