Archiv April 2007

FTimes Version 3.8.0

FTimes ist in der Version 3.8.0 erschienen. Neu ist die Unterstützung für SHA-256 Hashes und einige Dateisysteme, darunter UDF. Außerdem wurden dem Programmpaket noch einige weitere Hilfsprogramme hinzugefügt. Eine vollständige Übersicht aller Änderungen enthält das Changelog.

Prozesse finden mit XMagic

Brendan Dolan-Gavitt wies mich auf seine Sammlung von XMagic-Suchmustern hin. Mit diesen Ausdrücken und einer Konfigurationsdatei (Brendan liefert ein Beispiel) kann man mit Hilfe von FTimes Informationen über Prozesse aus einem Speicherabbild gewinnen.

GrokEVT Version 0.4.0

GrokEVT ist eine Sammlung von Python-Skripten, mit deren Hilfe sich Windows Eventlog-Dateien (.evt) auch unter Unix lesen lassen. Neu in der Version 0.4.0 ist das Skript grokevt-findlogs, das Ereignismeldungen aus einem Datenstrom wie zum Beispiel freien Zuordnungseinheiten eines Dateisystems oder einem Abbild des Arbeitsspeichers extrahiert.

Entropie markiert Dateigrenzen

Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.

The Sleuth Kit Version 2.08

The Sleuth Kit ist in der Version 2.08 erschienen. Die AFFlib sollte sich jetzt auch unter Cygwin compilieren lassen. Das Dienstprogrammhfind zur Verarbeitung von Hashsets steht jetzt auch unter Windows zur Verfügung. Eine vollständige Liste aller Änderungen enthält wie immer das Changelog.

IJDE Ausgabe Frühjahr 2007

Die Frühjahrsausgabe 2007 des International Journal of Digital Evidence (IJDE) ist mit drei Beiträgen erschienen.

KnTTools und KnTList

GMG Systems, Inc. bietet seine Programme KnTTools zur Sicherung des Arbeitsspeichers unter Windows und KnTTlist zur Auswertung jetzt einem eingeschränkten Kreis von Interessenten an.

Undocumented Windows 2000 Secrets - Electronic Edition

Eines von wenigen Büchern, die mir dabei geholfen haben, ein grundlegendes Verständnis der Vorgänge im Windows Kernel zu entwickeln, ist Sven B. Schreibers "Undocumented Windows 2000 Secrets". Leider ist dieses Buch nun schon einige Zeit vergriffen. Einzelne Exemplare werden zwar immer wieder bei Amazon und anderen Internet-Marktplätzen angeboten, allerdings zu aberwitzigen Preisen.

Glücklicherweise konnte Sven das Copyright seines Buches von Addison Wesley zurück erhalten. Jetzt bietet er sein Werk in Form mehrerer PDF Dateien auf seiner Website kostenlos zum Download an. Vielen Dank, Sven!

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12