Archiv Dezember 2006

GNU ddrescue Version 1.3

Das Dienstprogramm ddrescue kopiert ähnlich dem bekannteren dd Daten von einer Datei oder einem Gerät in eine andere Datei oder ein anderes Gerät. Dabei ist es auf die Wiederherstellung einer fehlerhafter Quelle spezialisiert. In der nun erschienen Version 1.3 wurde das Makefile so geändert, dass sich auch eine statisch gelinkte Programmdatei erzeugen lässt.

Rekonstruktion defekter Event Logs

Die Betrachtung eines gesicherten Event Logs auf einem anderen System kann sich unerwartet schwierig gestalten. Mitunter verweigert der Ereignisprotokolldienst die Datei zu öffnen, weil sie beschädigt sei. Erste Hilfe in dieser Situation bietet eine Prozedur von Stephan Bunting.

MemParser Version 1.0

MemParser von Chris Betz war einer der beiden Sieger der DFRWS 2005 Memory Analysis Challenge. Der Quellcode des Programms ist mittlerweile auch auf Sourceforge verfügbar.

LibCarvPath und CarvFS

Die beiden im Rahmen der Open Computer Forensics Architecture entwickelten Programme LibCarvPath und CarvFS implementieren Funktionen des In-Place Carvings.

Scalpel Version 1.60

Golden Richard hat die Version 1.60 des Carvers Scalpel veröffentlicht. Diese Version unterstützt erstmals den neuen Ansatz des In-Place Carvings.

The Sleuth Kit Version 2.07

The Sleuth Kit ist in der Version 2.07 erschienen. Neben etlichen Bugfixes wurde das Programmpaket an die aktuellen Versionen der AFFlib für das Advanced Forensics Format und libewf für das Expert Witness/EnCase-Format angepasst. Auch das Paket für die Windows-Plattform wurde aktualisiert.

Carving an Ort und Stelle

Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.

NIST testet WiebeTech Write Blocker

Das NIST hat das SATADock von WiebeTech getestet und jetzt die Testergebnisse für die Ausführungen mit USB- und mit FireWire-Schnittstelle veröffentlicht.

WinHex Templates für ReiserFS 4

Jens Kirschner hat Templates zur Interpretation von Datenstrukturen des ReiserFS 4 für den WinHex Hexeditor und X-Ways Forensics veröffentlicht. Die Sammlung enthält Schablonen für den Superblock, den Node Header, den Item Header, Verzeichniseinträge und einige Strukturen mehr.

Crash ohne CtrlScroll

Windows zu einem Absturz zu zwingen, ist ein probates Mittel, um ein Speicherabbild für eine forensische Untersuchung zu erzeugen. Unglücklicherweise erfordert dies jedoch eine rechtzeitige Konfiguration des Computers vor einem Sicherheitsvorfall. In einem Beitrag fragt sich C4RTMAN, wie der Tastaturtreiber den Absturz hervorruft und ob es hierfür nicht auch eine andere Möglichkeit gäbe. Hier ist eine Antwort.

FATKit

Die kommende Ausgabe der Digital Investigation (Vol. 3, Ausgabe 4) wird einen sehr interessanten Aufsatz von Nick L.Petroni, AAron Walters, Timothy Fraser und William A. Arbaugh über ihr Speicheranalyse-Werkzeug FATKit enthalten. Eine Vorabversion des Beitrags ist auf der Website des FATKit-Projektes kostenlos erhältlich.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12