Archiv Januar 2006

Einrichtung von EnCase im Laborumfeld

In einem Online-Seminar gibt Michael Gurzi Hinweise zum Aufbau eines IT-Forensik Labors. Er demonstriert dabei ausführlich die Installation des Network Authentication Servers für die Analysesoftware EnCase.

Online Forensik-Kurs

Das US-CERT bietet in Zusammenarbeit mit der Carnegie Mellon University ein Online-Training für Computer Forensik und weitere Bereiche der IT-Sicherheit an.

Festplattendiagnose einmal anders

Nicht jede zur Untersuchung eingelieferte Festplatte ist auch lesbar. Verschlüsselung? Keineswegs, eine Festplatte kann viele Tode sterben. Manchmal passiert das reihenweise, wie sich an den Seriennummern leicht erkennen lässt. Die Geräusche typischer Defekte hat Hitachi, Erbe der "legendären" IBM Festplattensparte, aufgenommen. Schaurig-schön!

(Via Computer Woche Notizblog)

_ETHREAD Version 5.2.3790.0

Dieser Artikel listet die Struktur _ETHREAD des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.2.3790.0

Dieser Artikel listet die Struktur _EPROCESS des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_ETHREAD Version 5.1.2600.2180

Dieser Artikel listet die Struktur _ETHREAD von Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.1.2600.2180

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_ETHREAD Version 5.1.2600.0

Dieser Artikel listet die Struktur _ETHREAD von Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.1.2600.0

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Wie wählen IT-Forensiker ihre Software aus?

Nach welchen Kriterien wählen IT-Forensiker ihre Analyse-Software aus? Dieser Frage ging Rory V. O'Connor in seinem Artikel Software selection: towards an understanding of forensic software tool selection in industrial practice nach.

Verdichtung von Einzelereignissen zu Profilen

Mit der Erstellung von Profilen befasst sich Tamas Abraham in seinem Artikel Event Sequence Mining to Develop Profiles for Computer Forensic Investigation Purposes.

Binärdateien vergleichen mit nwdiff

| 4 Kommentare

Nwdiff vergleicht zwei Dateien miteinander. Das kostenlose Tool ermöglicht durch seine besondere Darstellung, die Unterschiede schnell bis ins letzte Bit zu erfassen und sich gleichzeitig einen Einblick in den Dateiaufbau zu verschaffen.

Datei-Metadaten in Vista

| 2 Kommentare

Die Warnung der Gartner Group vor Gefahren durch Metadaten war mir dann doch einen kurzen Versuch wert. Ergebnis: die Metadaten sind in einem ADS abgelegt. Beim Versand per E-Mail oder Kopieren der Datei auf ein FAT-Volume werden die Metadaten automatisch entfernt.

Gartner Group warnt vor Problemen mit Metadaten unter Vista

In einer Studie warnt die Gartner Group vor der unbedachten Verwendung von Keywords in Windows Vista. Ist die Aufregung aber womöglich unbegründet?

MiTeC Structured Storage Viewer 2.0

Die erste Version des MiTeC OLE StructuredStorage Viewer hatte ich bereits kurz vorgestellt. Programmautor Michal Mutl hat jetzt die Version 2.0 freigegeben, die einige Fehler beseitigt.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12