for(ensik){blog;}

In der letzten Woche sind Updates für EnCase auf die Version 6.2 und das Forensic Toolkit (FTK) auf die Version 1.70 erschienen.

Von Andreas Schuster am 31.01.2007, 07:45 Uhr | Permalink

Dieser Artikel listet die Struktur _ETHREAD von Windows Vista RTM (Release To Manufacturing). Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 09.01.2007, 22:20 Uhr | Permalink

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Vista RTM (Release To Manufacturing). Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 09.01.2007, 20:45 Uhr | Permalink

Alexander Geschonneck verweist in seinem Blog auf den Artikel seines Mitarbeiters Sebastian Krause zu Windows Ereignisprotokollen in der iX 1/2007, S. 100 ff. Leider bin ich erst jetzt dazu gekommen, den Artikel zu lesen. Insgesamt gibt der Beitrag eine gute Einführung in die Materie. Als Ergänzung möchte ich auf ein Problem hinweisen, das zur fehlerhaften Verarbeitung oder Unterschlagung eines Ereigniseintrags führen kann und von dem einige der in dem Beitrag genannten Programme betroffen sind.

Von Andreas Schuster am 09.01.2007, 08:00 Uhr | Permalink