Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.
Meine Beiträge auf dem 13. DFN Workshop und dem DFRWS 2006 haben sich mit den Datenstrukturen EPROCESS, ETHREAD und dem OBJECT_HEADER auf einer eher hohen Ebene bewegt. Im Gegensatz dazu befasst sich mein Beitrag auf der IMF ausschließlich mit dem POOL_HEADER. Das Verständnis dieser Struktur erlaubt es, Daten im Kernelspace einem bestimmten Codeabschnitt zuzuordnen oder aber im Gegenzug die durch bestimmte Codefragmente erzeugten Daten im Speicher zu lokalisieren.
Zum Beispiel kann mit dieser Methodik eine Zeichenkette als Inahlt der Zwischenablage identifiziert werden. Das Auffinden der Zeichenfolge gelingt möglicherweise selbst dann noch, wenn die Zwischenablage bereits geleert und der Speicher freigegeben (aber noch nicht wieder überschrieben) wurde.
29.10.2006: Die Präsentationen der Konferenz sind ab jetzt verfügbar.
