In einem Online-Seminar gibt Michael Gurzi Hinweise zum Aufbau eines IT-Forensik Labors. Er demonstriert dabei ausführlich die Installation des Network Authentication Servers für die Analysesoftware EnCase.
Das US-CERT bietet in Zusammenarbeit mit der Carnegie Mellon University ein Online-Training für Computer Forensik und weitere Bereiche der IT-Sicherheit an.
Nicht jede zur Untersuchung eingelieferte Festplatte ist auch lesbar. Verschlüsselung? Keineswegs, eine Festplatte kann viele Tode sterben. Manchmal passiert das reihenweise, wie sich an den Seriennummern leicht erkennen lässt. Die Geräusche typischer Defekte hat Hitachi, Erbe der "legendären" IBM Festplattensparte, aufgenommen. Schaurig-schön!
(Via Computer Woche Notizblog)
Dieser Artikel listet die Struktur _ETHREAD des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _EPROCESS des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _ETHREAD von Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _ETHREAD von Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Nach welchen Kriterien wählen IT-Forensiker ihre Analyse-Software aus? Dieser Frage ging Rory V. O'Connor in seinem Artikel Software selection: towards an understanding of forensic software tool selection in industrial practice nach.
Mit der Erstellung von Profilen befasst sich Tamas Abraham in seinem Artikel Event Sequence Mining to Develop Profiles for Computer Forensic Investigation Purposes.
Nwdiff vergleicht zwei Dateien miteinander. Das kostenlose Tool ermöglicht durch seine besondere Darstellung, die Unterschiede schnell bis ins letzte Bit zu erfassen und sich gleichzeitig einen Einblick in den Dateiaufbau zu verschaffen.
Die Warnung der Gartner Group vor Gefahren durch Metadaten war mir dann doch einen kurzen Versuch wert. Ergebnis: die Metadaten sind in einem ADS abgelegt. Beim Versand per E-Mail oder Kopieren der Datei auf ein FAT-Volume werden die Metadaten automatisch entfernt.
In einer Studie warnt die Gartner Group vor der unbedachten Verwendung von Keywords in Windows Vista. Ist die Aufregung aber womöglich unbegründet?
Die erste Version des MiTeC OLE StructuredStorage Viewer hatte ich bereits kurz vorgestellt. Programmautor Michal Mutl hat jetzt die Version 2.0 freigegeben, die einige Fehler beseitigt.
