Archiv Januar 2007

Updates für EnCase und FTK

In der letzten Woche sind Updates für EnCase auf die Version 6.2 und das Forensic Toolkit (FTK) auf die Version 1.70 erschienen.

_ETHREAD Version 6.0.6000.16386

Dieser Artikel listet die Struktur _ETHREAD von Windows Vista RTM (Release To Manufacturing). Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 6.0.6000.16386

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Vista RTM (Release To Manufacturing). Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Eventlog in der iX

Alexander Geschonneck verweist in seinem Blog auf den Artikel seines Mitarbeiters Sebastian Krause zu Windows Ereignisprotokollen in der iX 1/2007, S. 100 ff. Leider bin ich erst jetzt dazu gekommen, den Artikel zu lesen. Insgesamt gibt der Beitrag eine gute Einführung in die Materie. Als Ergänzung möchte ich auf ein Problem hinweisen, das zur fehlerhaften Verarbeitung oder Unterschlagung eines Ereigniseintrags führen kann und von dem einige der in dem Beitrag genannten Programme betroffen sind.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12