Archiv Juli 2006

Nachweis einer Library Injection mit FATkit

In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.

The Sleuth Kit v.2.05

Sleuth Kit Version 2.05 ist erschienen. Als wesentliches Leistungsmerkmal unterstützt dieses Release erstmals die NTFS-Datenkompression.

Netzwerkaktivität in Pools finden

Ich habe einige Fragen zu meinem Beitrag für die IMF 2006 erhalten. Deshalb habe ich mich entschieden, vorab ein Anwendungsbeispiel für die Speicheranalyse auf der Grundlage von Pools zu veröffentlichen. In diesem Beispiel werden Sockets im Zustand "Listening" und TCP-Verbindungen in einem Abbild des Arbeitsspeichers identifiziert.

POOL_HEADER

Dieser Beitrag führt eine kleine, aber dennoch wichtige Struktur des Microsoft Windows NT Kernel ein, den POOL_HEADER. Mit Sicherheit werde ich in der nächsten Zeit noch häufiger auf diese Struktur zurückgreifen. Auch mein Vortrag auf der IMF 2006 ist ganz dieser Struktur gewidmet.

07.02.2007: DFN-Workshop "Sicherheit in vernetzten Systemen"

Das DFN-CERT hat den 14. Workshop "Sicherheit in vernetzten Systemen" angekündigt. Er wird am 7. und 8. Februar 2007 wie gewohnt im CCH in Hamburg stattfinden.

Beitrag zur IMF 2006

Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.

Speicheranalyse unter Linux

| 2 Kommentare
Jorge M. Urrea-Civilian untersucht in seiner von Chris Eagle betreuten Master Thesis Datenstrukturen des 2.6er Linux Kernels. Er zeigt, wie der virtuelle Adressraum eines Prozesses aus der Auslagerungsdatei und dem Arbeitsspeicher rekonstruiert werden kann. Damit soll die Arbeit die Grundlage für die Entwicklung von Werkzeugen zur Analyse des Arbeitsspeichers unter Linux legen.

Neue Rubrik "Carving"

Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.

EXE Template und der Rich-Header

Peter Kankowski hat für den 010 Editor ein Template für EXE-Dateien veröffentlicht. Es erweitert das mitgelieferte Template um die Fähigkeit, 64bit-Binaries zu verarbeiten. Erstmals wird auch der "Rich"-Header des Microsoft-Linkers erkannt.

Alles über Writeblocker

Robert Botchek fasst in seinem auf der Techno Security 2006 gehaltenen Vortrag die Grundlagen von Writeblockern zusammen. Der Referent ist Generaldirektor von Tableau, einem Hersteller von Writeblockern.

Weitere Tests von Writeblockern

Erneut hat das NIST Hardware-Writeblocker für die forensiche Datensicherung getestet. Den Schwerpunkt bilden diesmal die Produkte von WiebeTech.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12