PTFinder Version 0.3.00 verfügbar
Die Version 0.3.00 des Programms PTFinder ist verfügbar. Als Neuerung bietet sie die Möglichkeit, die Ausgabe in einem XML-Format zu erzeugen.
Auf dem DFRWS 2006 und danach wurde ich mehrfach gebeten, PTFinder um eine Ausgabe im XML-Format zu erweitern. Ich sehe nach wie vor die Aufgabe von PTFInder in der Identifikation von _EPROCESS und _ETHREAD Strukturen in Windows-Speicherabbildern. Die weitere Auswertung möchte ich anderen Programmen überlassen. Folglich enthält auch die XML-Ausgabe nur die wichtigsten Informationen, die einen Prozess beziehungsweise Thread identifizieren und zu seiner Lokalisierung in dem Speicherabbild benötigt werden.
Das XML Schema wird bislang von GMG Systems, Inc. KnTList unterstützt. Mein Dank gilt George Garner für seine Hilfe bei der Erstellung des Schemas.
Bitte beachten Sie, dass ab sofort die Entwicklungsversionen von PTFinder nur noch für Microsoft Windows XP mit Service Pack 2, nicht mehr aber für Microsoft Windows 2000 geeignet sind. PTFinder für andere Betriebssystemversionen finden Sie in der PTFinder-Sammlung.
Wie üblich bitte ich darum, Fehlermeldungen, Kommentare und Verbesserungsvorschläge an per E-Mail an die Adresse bugs-ptfinder [at] forensikblog.de zu senden.
