Bibliothek
« März 2006 | Übersicht | Mai 2006 »
Labor
GNU ddrescue Version 1.2
Das Dienstprogramm ddrescue kopiert ähnlich dem bekannteren dd Daten von einer Datei oder einem Gerät in eine andere Datei oder ein anderes Gerät. Dabei ist es auf die Wiederherstellung einer fehlerhafter Quelle spezialisiert.
Speicheranalyse
Rekonstruktion einer Programmdatei (2)
Wenn Sie den ersten Teil dieser Anleitung durchgearbeitet haben, dann fragen Sie sich vielleicht, ob es nicht auch einen einfacheren Weg gibt, die Programmdatei wiederherzustellen. Den gibt es, natürlich.
Speicheranalyse
Neue Programme
Am Wochenende hat Harlan Carvey zwei neue Programme zur Analyse von Windows 2000 Speicherabbildern veröffentlicht.
Randnotizen
Festplattensektoren werden größer
Eine Pressemitteilung der International Disk Drive Equipment and Materials Association (IDEMA) verkündet, dass Sektoren von Festplatten in Zukunft nicht mehr 512, sondern 4096 Bytes Nutzdaten enthalten sollen.
Labor
TULP2G Version 1.3.0.3
Das Netherlands Forensic Institute hat eine neue Version von TULP2G freigeben. Das Programm sichert und analysiert Daten aus Mobiltelefonen.
Speicheranalyse
Persistenz der Speicherinhalte
In ihrem Buch Forensic Discover sprechen Dan Farmer und Wietse Venema über die Persistenz von Inhalten des Hauptspeichers. Ich hatte derartiges noch nicht beobachten können - bis ich mir die Speicherabbilder der DFRWS Memory Analysis Challenge genauer angesehen habe.
Randnotizen
Speicher hilft Sparen
Arbeitsspeicher kann man eigentlich nie genug haben. Doch wie macht man Kostenstellenverantwortlichen, Laborleitern und Controllern die Kosten dafür schmackhaft? Eine Argumentationshilfe liefert "DigitalCSI" in seinem Blog.
Speicheranalyse
Rekonstruktion einer Programmdatei (1)
Aus einem Speicherabbild lassen sich auch die Programmdateien der laufenden Prozesse rekonstruieren. Damit lassen sich selbst auf der Festplatte nicht auffindbare Programme schnell mit einem Virenscanner untersuchen. Dieser Artikel beschreibt Schritt für Schritt die Rekonstruktion.
Speicheranalyse
Rekonstruktion des Prozess-Speichers
Für manche Untersuchungen mag es hilfreich sein, nur den Speicher eines einzelnen Prozesses vorliegen zu haben. Bei einem mit "dd" erzeugten Abbild des physischen Speichers ist die Rekonstruktion mit wenig Aufwand möglich.
Suche
English
International edition
Rubriken
- Bibliothek (18)
- Blog (3)
- Labor (59)
- FTK 2 (5)
- Randnotizen (36)
- Termine (24)
- Themen
- Carving (13)
- Multimedia (8)
- Netzwerk-Forensik (3)
- Software-Forensik
- Visualisierung (4)
- Windows (7)
- NT Eventlog (15)
- Speicheranalyse (97)
- Vista Eventlog (19)
Archive
- Mai 2009
- April 2009
- März 2009
- Februar 2009
- November 2008
- Oktober 2008
- September 2008
- August 2008
- Juli 2008
- Juni 2008
- Mai 2008
- April 2008
- März 2008
- Februar 2008
- Januar 2008
- Dezember 2007
- November 2007
- Oktober 2007
- September 2007
- August 2007
- Juli 2007
- Juni 2007
- Mai 2007
- April 2007
- März 2007
- Februar 2007
- Januar 2007
- Dezember 2006
- November 2006
- Oktober 2006
- September 2006
- August 2006
- Juli 2006
- Juni 2006
- Mai 2006
- April 2006
- März 2006
- Februar 2006
- Januar 2006
- Dezember 2005
- November 2005
- Oktober 2005
- September 2005
Neueste Einträge
Abonnieren
Impressum
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.