« Mai 2007 | Übersicht | Juli 2007 »
Speicheranalyse
Dieser kurze Beitrag enthält wieder eine Ergänzung für die Datei magic(5), mit deren Hilfe das Dienstprogramm file(1) Speicherabbilder im Microsoft Crashdump-Format identifizieren kann. Auf diese Weise lässt sich auch leicht erkennen, ob die Datei pagefile.sys ein Speicherabbild enthält.
Speicheranalyse
Für meinen Vortrag auf der FIRST Conference 2007 habe ich einen kleinen Spickzettel für die Analyse des Arbeitsspeichers von Microsoft Windows XP SP2 angefertigt. Die vier Seiten enthalten in Kurzform die wichtigsten Kommandos des Microsoft-Debuggers und einiger Forensik-Programme sowie Datenstrukturen und Variablennamen. Der Spickzettel ist hier als PDF erhältlich.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.