Archiv März 2006

FTK Imager Version 2.4

Wie ich gesehen habe, gibt es den FTK Imager von Access Data bereits in der Version 2.4. Der Imager erstellt forensische Kopien von Datenträgern in mehreren gebräuchlichen Zielformaten.

Doppelte Geschwindigkeit

Die Version 0.2.02 des PTfinder erlaubt mit einer neuen Option die Veränderung der Schrittweite bei der Suche nach Prozessen und Threads. Für Windows 2000 lässt sich damit die Suchgeschwindigkeit verdoppeln.

DMP-Templates für Hex-Editoren

Aufgrund einiger Nachfragen veröffentliche als Ergänzung zur Beschreibung des DMP Formates entsprechenden Templates für WinHex und den 010 Editor.

Web-Archive

In einem Artikel in der Zeitschrift "MultiMedia und Recht" (MMR 2006, Heft 1, V) untersucht Prof. Dr. Thomas Hoeren die Stellung von Web-Archiven wie dem Google-Cache und der Wayback-Machine in der Rechtspraxis.

Patente

Durch Zufall bin ich auf drei Patente gestoßen, die sich im Kern zwar auf Debugger beziehen, aber auch Auswirkungen auf die Entwicklung von Programmen zur Speicheranalyse haben könnten.

Öffentliche Beta von MacForensicsLab

SubRosaSoft stellt eine Beta-Version der neuen Analyse-Suite MacForensicsLab kostenlos zum Test bereit. Eine Registrierung beim Hersteller ist jedoch erforderlich. Download und weitere Informationen gibt es auf der Website des Produktes.

Das DMP Dateiformat

Microsofts Debugger und der NT-Kernel erzeugen Speicherabbilder in einem proprietären Format. In diesem Beitrag beschreibe ich den Aufbau der DMP Dateien und zeige, wie man eine gegebene physische Adresse im Speicherabbild lokalisiert.

PTfinder an andere Windows-Versionen anpassen

PTfinder greift auf einige interne Strukturen und Konstanten des NT Kernels zurück, um Spuren von Prozessen und Threads finden zu können. Meine Beispiel-Implementierung arbeitet deshalb nur unter Windows 2000. In diesem Beitrag führe ich die Parameter auf, die Sie benötigen, um PTfinder an andere Versionen bis hin zu Vista anzupassen.

Page Directory Template für den 010 Editor

Die Umrechnung von virtuellen in physische Adressen ist eine ausgesprochen langweilige und dabei auch noch fehleranfällige Angelegenheit. Um das Leben etwas einfacher zu machen, habe ich ein Template für Sweetscapes 010 Editor geschrieben.

Umrechnung virtueller in physische Adressen

Analysiert man den Arbeitsspeicher, so muss man früher oder später virtuelle in physische Adressen umrechnen. Beim ersten Mal kann das durchaus Schwierigkeiten bereiten. Dieser Artikel erklärt das Vorgehen anhand eines Beispiels.

Bundesverfassungsgericht und digitale Forensik

In seinem Urteil 2 BvR 2099/04 vom 2.3.2006 äußert sich das Bundesverfassungsgericht auch zur Durchführung it-forensischer Untersuchungen.

Suche nach Prozessen und Threads

| 3 Kommentare

Die Suche nach variierenden Strukturen wie Prozessen und Threads ist keine einfache Aufgabe. Die Kriterien müssen sorgfältig gewählt werden. Auf der einen Seite soll der Kriteriensatz zu möglichst wenigen Fehlern erster Art führen, auf der anderen Seite dürfen aber auch keine gültigen Datenstrukturen fälschlicherweise übergangen werden. In diesem Beitrag beschreibe ich die Kriterien, die ich in PTfinder v0.2.00 implementiert habe.

ACLs der Event Logs

Eric Fitz hat sich die Mühe gemacht, im Sourcecode die Standardzugriffsrechte für Event Logs nachzuschlagen. Seine Auflistungen für Windows 2000, XP mit Service Pack 2 und Windows Server 2003 sind im Blog des Windows Auditing Teams veröffentlicht.

PTfinder Version 0.2.00

| 1 Kommentar

Aus Anlass meines Vortrags auf dem 13. DFN-Workshop "Sicherheit in vernetzten Systemen" veröffentliche ich eine Proof-of-Concept Implementierung meines Suchalgorithmus in Perl. Das Programm kann ab sofort heruntergeladen werden.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12