In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.
Ich habe einige Fragen zu meinem Beitrag für die IMF 2006 erhalten. Deshalb habe ich mich entschieden, vorab ein Anwendungsbeispiel für die Speicheranalyse auf der Grundlage von Pools zu veröffentlichen. In diesem Beispiel werden Sockets im Zustand "Listening" und TCP-Verbindungen in einem Abbild des Arbeitsspeichers identifiziert.
Dieser Beitrag führt eine kleine, aber dennoch wichtige Struktur des Microsoft Windows NT Kernel ein, den POOL_HEADER. Mit Sicherheit werde ich in der nächsten Zeit noch häufiger auf diese Struktur zurückgreifen. Auch mein Vortrag auf der IMF 2006 ist ganz dieser Struktur gewidmet.
Das DFN-CERT hat den 14. Workshop "Sicherheit in vernetzten Systemen" angekündigt. Er wird am 7. und 8. Februar 2007 wie gewohnt im CCH in Hamburg stattfinden.
Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.
Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.
Peter Kankowski hat für den 010 Editor ein Template für EXE-Dateien veröffentlicht. Es erweitert das mitgelieferte Template um die Fähigkeit, 64bit-Binaries zu verarbeiten. Erstmals wird auch der "Rich"-Header des Microsoft-Linkers erkannt.
Robert Botchek fasst in seinem auf der Techno Security 2006 gehaltenen Vortrag die Grundlagen von Writeblockern zusammen. Der Referent ist Generaldirektor von Tableau, einem Hersteller von Writeblockern.
Erneut hat das NIST Hardware-Writeblocker für die forensiche Datensicherung getestet. Den Schwerpunkt bilden diesmal die Produkte von WiebeTech.
