« Januar 2006 | Übersicht | März 2006 »
Randnotizen
Nun hat also auch die digitale Forensik ihr eigenes Wiki, Simson Garfinkel hat es eingerichtet. Bislang haben sich etwa 70 Autoren registriert und knapp 40 Seiten produziert. Garfinkel freut sich deshalb über weitere Unterstützung.
Speicheranalyse
In einem früheren Beitrag habe ich bereits die Zeitstempel in Thread-Objekten erwähnt. Am Beispiel eines Trojanischen Pferdes zeige ich hier eine praktische Anwendung.
Speicheranalyse
Für die Suche nach Prozessen und Threads in Speicherabbildern greife ich immer wieder auf die Struktur _DISPATCHER_HEADER zurück. Grund genug, sie einmal etwas ausführlicher zu beschreiben.
Randnotizen
Im Moment ist es wohl en vogue, das bekannte Foremost neu zu implementieren. LURHQ hat heute Foregone vorgestellt, einen in Perl programmierten Foremost-Klon. Nach dem Test bleibt nur eine Frage: Wer braucht das?
Labor
Speicheranalyse
Tobias Klein hat auf der IT-DEFENSE 2006 mit seinem Memory Parser ein neues Werkzeug für die Live-Analyse vorgestellt. Das Programm extrahiert DLLs aus dem Speicherabbild eines Prozesses.
Netzwerk-Forensik
Yann Berthier stellt in seinem Vortrag Netflows als Informationsquelle in der Netzwerk-Forensik vor.
Labor
Mit EnCase lassen sich auch komprimierte Outlook-Postfächer (PST-Daten) betrachten, wenn man nur die richtigen Einstellungen vornimmt. Wie es geht, beschreibt die University of Delaware Police.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.