FTimes ist in der Version 3.8.0 erschienen. Neu ist die Unterstützung für SHA-256 Hashes und einige Dateisysteme, darunter UDF. Außerdem wurden dem Programmpaket noch einige weitere Hilfsprogramme hinzugefügt. Eine vollständige Übersicht aller Änderungen enthält das Changelog.
Archiv April 2007
Brendan Dolan-Gavitt wies mich auf seine Sammlung von XMagic-Suchmustern hin. Mit diesen Ausdrücken und einer Konfigurationsdatei (Brendan liefert ein Beispiel) kann man mit Hilfe von FTimes Informationen über Prozesse aus einem Speicherabbild gewinnen.
Prozesse finden mit XMagic weiterlesen
GrokEVT ist eine Sammlung von Python-Skripten, mit deren Hilfe sich Windows Eventlog-Dateien (.evt) auch unter Unix lesen lassen. Neu in der Version 0.4.0 ist das Skript grokevt-findlogs, das Ereignismeldungen aus einem Datenstrom wie zum Beispiel freien Zuordnungseinheiten eines Dateisystems oder einem Abbild des Arbeitsspeichers extrahiert.
Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.
Entropie markiert Dateigrenzen weiterlesen
The Sleuth Kit ist in der Version 2.08 erschienen. Die AFFlib sollte sich jetzt auch unter Cygwin compilieren lassen. Das Dienstprogrammhfind zur Verarbeitung von Hashsets steht jetzt auch unter Windows zur Verfügung. Eine vollständige Liste aller Änderungen enthält wie immer das Changelog.
Die Frühjahrsausgabe 2007 des International Journal of Digital Evidence (IJDE) ist mit drei Beiträgen erschienen.
IJDE Ausgabe Frühjahr 2007 weiterlesen
GMG Systems, Inc. bietet seine Programme KnTTools zur Sicherung des Arbeitsspeichers unter Windows und KnTTlist zur Auswertung jetzt einem eingeschränkten Kreis von Interessenten an.
KnTTools und KnTList weiterlesen
Eines von wenigen Büchern, die mir dabei geholfen haben, ein grundlegendes Verständnis der Vorgänge im Windows Kernel zu entwickeln, ist Sven B. Schreibers "Undocumented Windows 2000 Secrets". Leider ist dieses Buch nun schon einige Zeit vergriffen. Einzelne Exemplare werden zwar immer wieder bei Amazon und anderen Internet-Marktplätzen angeboten, allerdings zu aberwitzigen Preisen.
Glücklicherweise konnte Sven das Copyright seines Buches von Addison Wesley zurück erhalten. Jetzt bietet er sein Werk in Form mehrerer PDF Dateien auf seiner Website kostenlos zum Download an. Vielen Dank, Sven!
Abonnieren
