Heute beginnt die IMF 2006 - und ich freue mich, aus diesem Anlass mein neues Tool PoolFinder veröffentlichen zu können. PoolFinder implementiert die in meinem Beitrag Pool Allocations as an Information Source in Windows Memory Forensics beschriebene Methode.
Nicht jedermann arbeitet gerne an der Kommandozeile. Richard McQuown hat deshalb für den PTFinder ein Frontend erstellt.
Microsoft hat den Release Candidate 2 für Vista veröffentlicht. Neben zahlreichen Neuerungen enthält Vista ein neues Format für Ereignisprotokolle. Dieser Beitrag ist der erste in einer Reihe, die zu einem besseren Verständnis des neuen Formats beitragen soll.
In einem früheren Beitrag habe ich auf einen Aufsatz von Hany Farid hingewiesen, der Quantisierungstabellen in JPEG-Dateien auswertet. Ich möchte dieses Verfahren gerne in meine Laborpraxis übernehmen und habe mich deshalb näher mit ihm beschäftigt.
