for(ensik){blog;}

In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.

Von Andreas Schuster am 31.07.2006, 08:45 Uhr | Permalink

Sleuth Kit Version 2.05 ist erschienen. Als wesentliches Leistungsmerkmal unterstützt dieses Release erstmals die NTFS-Datenkompression.

Von Andreas Schuster am 28.07.2006, 10:45 Uhr | Permalink

Ich habe einige Fragen zu meinem Beitrag für die IMF 2006 erhalten. Deshalb habe ich mich entschieden, vorab ein Anwendungsbeispiel für die Speicheranalyse auf der Grundlage von Pools zu veröffentlichen. In diesem Beispiel werden Sockets im Zustand "Listening" und TCP-Verbindungen in einem Abbild des Arbeitsspeichers identifiziert.

Von Andreas Schuster am 28.07.2006, 08:00 Uhr | Permalink

Dieser Beitrag führt eine kleine, aber dennoch wichtige Struktur des Microsoft Windows NT Kernel ein, den POOL_HEADER. Mit Sicherheit werde ich in der nächsten Zeit noch häufiger auf diese Struktur zurückgreifen. Auch mein Vortrag auf der IMF 2006 ist ganz dieser Struktur gewidmet.

Von Andreas Schuster am 25.07.2006, 17:45 Uhr | Permalink

Das DFN-CERT hat den 14. Workshop "Sicherheit in vernetzten Systemen" angekündigt. Er wird am 7. und 8. Februar 2007 wie gewohnt im CCH in Hamburg stattfinden.

Von Andreas Schuster am 20.07.2006, 18:35 Uhr | Permalink

Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.

Von Andreas Schuster am 10.07.2006, 21:00 Uhr | Permalink

Jorge M. Urrea-Civilian untersucht in seiner von Chris Eagle betreuten Master Thesis Datenstrukturen des 2.6er Linux Kernels. Er zeigt, wie der virtuelle Adressraum eines Prozesses aus der Auslagerungsdatei und dem Arbeitsspeicher rekonstruiert werden kann. Damit soll die Arbeit die Grundlage für die Entwicklung von Werkzeugen zur Analyse des Arbeitsspeichers unter Linux legen.

Von Andreas Schuster am 10.07.2006, 08:00 Uhr | Permalink

Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.

Von Andreas Schuster am 09.07.2006, 16:30 Uhr | Permalink

Peter Kankowski hat für den 010 Editor ein Template für EXE-Dateien veröffentlicht. Es erweitert das mitgelieferte Template um die Fähigkeit, 64bit-Binaries zu verarbeiten. Erstmals wird auch der "Rich"-Header des Microsoft-Linkers erkannt.

Von Andreas Schuster am 08.07.2006, 12:54 Uhr | Permalink

Robert Botchek fasst in seinem auf der Techno Security 2006 gehaltenen Vortrag die Grundlagen von Writeblockern zusammen. Der Referent ist Generaldirektor von Tableau, einem Hersteller von Writeblockern.

Von Andreas Schuster am 06.07.2006, 20:30 Uhr | Permalink

Erneut hat das NIST Hardware-Writeblocker für die forensiche Datensicherung getestet. Den Schwerpunkt bilden diesmal die Produkte von WiebeTech.

Von Andreas Schuster am 05.07.2006, 17:15 Uhr | Permalink