Archiv Juni 2007

DMP Magic

Dieser kurze Beitrag enthält wieder eine Ergänzung für die Datei magic(5), mit deren Hilfe das Dienstprogramm file(1) Speicherabbilder im Microsoft Crashdump-Format identifizieren kann. Auf diese Weise lässt sich auch leicht erkennen, ob die Datei pagefile.sys ein Speicherabbild enthält.

Spickzettel für die Speicheranalyse

Für meinen Vortrag auf der FIRST Conference 2007 habe ich einen kleinen Spickzettel für die Analyse des Arbeitsspeichers von Microsoft Windows XP SP2 angefertigt. Die vier Seiten enthalten in Kurzform die wichtigsten Kommandos des Microsoft-Debuggers und einiger Forensik-Programme sowie Datenstrukturen und Variablennamen. Der Spickzettel ist hier als PDF erhältlich.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12