Das Dienstprogramm ddrescue kopiert ähnlich dem bekannteren dd Daten von einer Datei oder einem Gerät in eine andere Datei oder ein anderes Gerät. Dabei ist es auf die Wiederherstellung einer fehlerhafter Quelle spezialisiert. In der nun erschienen Version 1.3 wurde das Makefile so geändert, dass sich auch eine statisch gelinkte Programmdatei erzeugen lässt.
Archiv Dezember 2006
Die Betrachtung eines gesicherten Event Logs auf einem anderen System kann sich unerwartet schwierig gestalten. Mitunter verweigert der Ereignisprotokolldienst die Datei zu öffnen, weil sie beschädigt sei. Erste Hilfe in dieser Situation bietet eine Prozedur von Stephan Bunting.
Rekonstruktion defekter Event Logs weiterlesen
MemParser von Chris Betz war einer der beiden Sieger der DFRWS 2005 Memory Analysis Challenge. Der Quellcode des Programms ist mittlerweile auch auf Sourceforge verfügbar.
Die beiden im Rahmen der Open Computer Forensics Architecture entwickelten Programme LibCarvPath und CarvFS implementieren Funktionen des In-Place Carvings.
LibCarvPath und CarvFS weiterlesen
Golden Richard hat die Version 1.60 des Carvers Scalpel veröffentlicht. Diese Version unterstützt erstmals den neuen Ansatz des In-Place Carvings.
Scalpel Version 1.60 weiterlesen
The Sleuth Kit ist in der Version 2.07 erschienen. Neben etlichen Bugfixes wurde das Programmpaket an die aktuellen Versionen der AFFlib für das Advanced Forensics Format und libewf für das Expert Witness/EnCase-Format angepasst. Auch das Paket für die Windows-Plattform wurde aktualisiert.
Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.
Carving an Ort und Stelle weiterlesen
Jens Kirschner hat Templates zur Interpretation von Datenstrukturen des ReiserFS 4 für den WinHex Hexeditor und X-Ways Forensics veröffentlicht. Die Sammlung enthält Schablonen für den Superblock, den Node Header, den Item Header, Verzeichniseinträge und einige Strukturen mehr.
Windows zu einem Absturz zu zwingen, ist ein probates Mittel, um ein Speicherabbild für eine forensische Untersuchung zu erzeugen. Unglücklicherweise erfordert dies jedoch eine rechtzeitige Konfiguration des Computers vor einem Sicherheitsvorfall. In einem Beitrag fragt sich C4RTMAN, wie der Tastaturtreiber den Absturz hervorruft und ob es hierfür nicht auch eine andere Möglichkeit gäbe. Hier ist eine Antwort.
Crash ohne CtrlScroll weiterlesen
Die kommende Ausgabe der Digital Investigation (Vol. 3, Ausgabe 4) wird einen sehr interessanten Aufsatz von Nick L.Petroni, AAron Walters, Timothy Fraser und William A. Arbaugh über ihr Speicheranalyse-Werkzeug FATKit enthalten. Eine Vorabversion des Beitrags ist auf der Website des FATKit-Projektes kostenlos erhältlich.
FATKit weiterlesen
Abonnieren
