Wie bereits gezeigt identifiziert eine Suche auf der Basis von Ähnlichkeiten im oberen Teil von Page Directories zu vielen falschen Treffern. In diesem Beitrag werde ich diese Doppelgänger von Page Directories näher betrachten.
Dieser kurze Beitrag enthält etwas magic(5), mit deren Hilfe file(1) Dateien des Vista Ereignisprotokolls in ihrer nativen Form (.evtx) identifizieren kann.
Golden G. Richard III, Vassil Roussev und Lodovico Marziale beschreiben einen Carver der auf lokalen Speichermedien sowie über ein Netz arbeitet. Ihren Aufsatz In-Place File Carving stellten die Autoren auf der 3. jährlichen Konferenz der IFIP-Arbeitsgruppe 11.9 vor.
Microsoft Windows beschreibt die Nutzung des virtuellen Adressraums eines Prozesses mit Hilfe von Virtual Address Descriptors (VAD). Jeder VAD markiert dabei einen zusammenhängenden Adressbereich. Die einzelnen VAD werden in einem ausgeglichenen Baum angeordnet, um einen schnelles Auffinden zu ermöglichen. Die _EPROCESS-Struktur verweist schließlich auf die Wurzel des Baums. Ein Nachbilden der Baumstruktur ermöglicht es, den Adressraum eines Prozesses mitsamt der in den Speicher abgebildeten Dateien zu rekonstruieren. Brendan Dolan-Gavitt wird hierüber auf dem DFRWS 2007 sprechen. Bereits jetzt hat er seine vadtools, einen Satz von Werkzeugen veröffentlicht, die seinen Beitrag ergänzen.
Bill Tydeman berichtete in der Windows Forensic Analysis Gruppe von Yahoo! und in seinem neuen Blog über ein Event Log für den Microsoft Internet Explorer 7. Sonderbar ist, dass das Log anscheinend nicht korrekt konfiguriert und die Datei verstümmelt ist.
Die Programmbibliothek libewf unterstützt die SMART- und EnCase-Formate, die häufig bei der Erstellung von Datenträgerabbildern verwendet werden. Die Bibliothek steht für die Plattformen Linux, *BSD, OS-X und Microsoft Windows zur Verfügung. Die neueste Version wurde am 12. Mai 2007 von ihren Autoren Robert-Jan Mora und Joachim Metz freigegeben.Weitere Informationen enthalten die Release Notes.
Es gibt zahlreiche Programme die Logdateien eines Web-Servers in ähnlicher Weise mittels einer Reihe von Balken- und Tortendiagrammen visualisieren. In einem zweiteiligen Artikel beschreibt nun Raju Varghese wie sich diese Protokolldateien mittels Perl und GnuPlot als mehrfarbige, 3-dimensionale Graphen darstellen lassen. Obwohl die Graphen die Informationen äußerst verdichtet darstellen, sind sie relativ einfach zu interpretieren. Hier geht es zu Teil 1 und Teil 2 bei O'Reilly SysAdmin.
Via SecGuru.
Microsoft Windows teilt den Adressraum eines Prozesses in zwei Teile: die unteren 2 GiB des virtuellen Speichers sind für das Userland, die oberen 2 GiB sind für den Betriebssystemkern reserviert (wie gewöhnlich unterstelle ich hier eine 32Bit-Plattform und einen Systemstart ohne besondere Optionen). In diesem Beitrag beschreibe ich, wie sich diese Aufteilung des Adressraums nutzen lässt, um Page Directories zu finden.
Werkzeuge wie der Microsoft Debugger oder PTFinder identifizieren Prozesse und zeigen zusätzlich die Page Directory Base Address an, weil diese Information der Ausgangspunkt zur Rekonstruktion des virtuellen Adressraums ist. Ich habe eine Weile darüber nachgedacht, dieses Verfahren umzukehren, d.h. in einem Speicherabbild zunächst nach Page Directories zu suchen und darüber dann den jeweiligen Prozess ausfindig zu machen. In diesem Artikel beschreibe ich eine einfache und elegante Methode zur Identifizierung von Page Directories, die darauf beruht, dass Page Directories auf sich selbst zurückweisen.
