Nun hat also auch die digitale Forensik ihr eigenes Wiki, Simson Garfinkel hat es eingerichtet. Bislang haben sich etwa 70 Autoren registriert und knapp 40 Seiten produziert. Garfinkel freut sich deshalb über weitere Unterstützung.
Archiv Februar 2006
In einem früheren Beitrag habe ich bereits die Zeitstempel in Thread-Objekten erwähnt. Am Beispiel eines Trojanischen Pferdes zeige ich hier eine praktische Anwendung.
Datierung der Ausführung von Programmteilen weiterlesen
Für die Suche nach Prozessen und Threads in Speicherabbildern greife ich immer wieder auf die Struktur _DISPATCHER_HEADER zurück. Grund genug, sie einmal etwas ausführlicher zu beschreiben.
_DISPATCHER_HEADER weiterlesen
Im Moment ist es wohl en vogue, das bekannte Foremost neu zu implementieren. LURHQ hat heute Foregone vorgestellt, einen in Perl programmierten Foremost-Klon. Nach dem Test bleibt nur eine Frage: Wer braucht das?
Foregone - ein weiterer Foremost-Klon weiterlesen
Am 13. Februar wurden mit Scalpel v1.54 und Foremost v.1.1 zwei Carver veröffentlicht. Was läge da näher, als beide Programme gegeneinander antreten zu lassen?
Scalpel 1.54 gegen Foremost 1.1 weiterlesen
Tobias Klein hat auf der IT-DEFENSE 2006 mit seinem Memory Parser ein neues Werkzeug für die Live-Analyse vorgestellt. Das Programm extrahiert DLLs aus dem Speicherabbild eines Prozesses.
Speicheranalyse mit pd und MMP weiterlesen
Yann Berthier stellt in seinem Vortrag Netflows als Informationsquelle in der Netzwerk-Forensik vor.
Netflows als Informationsquelle weiterlesen
Mit EnCase lassen sich auch komprimierte Outlook-Postfächer (PST-Daten) betrachten, wenn man nur die richtigen Einstellungen vornimmt. Wie es geht, beschreibt die University of Delaware Police.
Ein Registry-Betrachter und ein Hexeditor genügen, um die Mitglieder einer Benutzergruppe in Microsoft Windows auch post-mortem aufzulisten.
Mitglieder einer Windows-Gruppe weiterlesen
Abonnieren
