for(ensik){blog;}

Text zu parsen, kann eine sehr aufwändige Angelegenheit sein. Das gilt insbesondere im Fall von XML, das für seine geringe Informationsdichte bekannt ist. Unter der Annahme, dass die in XML abgefassten Ereignismeldungen mehrfach gelesen werden, kann die Umwandlung einzelner Elemente dieser Sprache in maschinell einfacher zu verarbeitende Symbole beträchtliche Rechenzeit einsparen und auch den Platzbedarf zur Speicherung der Daten herabsetzen.

Von Andreas Schuster am 31.07.2007, 15:00 Uhr | Permalink

Guidance Software und Access Data haben in den letzten Tagen wieder ihre Forensik-Produkte aktualisiert.

Von Andreas Schuster am 30.07.2007, 10:00 Uhr | Permalink

Der bei weitem größte Teil eines Ereignis-Eintrags entfällt auf Daten in einer binären Darstellung von XML. Ich werde die Interna dieser komplexen Struktur in einer Serie von Beiträgen erklären. Heute beginne ich mit einer Übersicht über das XML Schema.

Von Andreas Schuster am 30.07.2007, 08:00 Uhr | Permalink

Ich freue mich, die erste Version eines Templates für den 010 Editor veröffentlichen zu können, das die äußeren Strukturen eines Vista Event Logs analysiert. Mit "äußeren Strukturen" bezeichne ich die bereits in diesem Blog dargestellten Strukturen vom Datei-Header bis hin zum einzelnen Ereignis-Eintrag. Die Analyse des binären XML innerhalb eines Ereignis-Eintrags wird jedoch einem komplexeren Werkzeug vorbehalten bleiben, das ich innerhalb der nächsten Wochen an dieser Stelle veröffentlichen werde.

Von Andreas Schuster am 17.07.2007, 08:00 Uhr | Permalink

Dieser Beitrag beschreibt die Struktur eines Ereignis-Eintrags in den Protokolldateien (.evtx) von Windows Vista. Die Ereignis-Einträge werden in den Blöcken gespeichert. Dort folgen sie, einer nach dem anderen, unmittelbar auf den Block-Header.

Von Andreas Schuster am 11.07.2007, 08:00 Uhr | Permalink

Jede Protokolldatei enthält einen oder mehrere sogenannte "Blöcke" (chunks), die die Ereignismeldungen enthalten. Im Betrieb ist dabei jeweils nur der aktuelle Block einer Protokolldatei im Arbeitsspeicher abgebildet.

Von Andreas Schuster am 10.07.2007, 08:00 Uhr | Permalink

Dieser Beitrag dokumentiert den Evtx Datei-Header. Der Header enthält grundlegende Informationen über eine Protokolldatei.

Von Andreas Schuster am 09.07.2007, 08:00 Uhr | Permalink

"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.

Von Andreas Schuster am 08.07.2007, 20:00 Uhr | Permalink

Die Bibliotheken und Programme des Advanced Forensic Formats, kurz AFF, gibt es seit der Version 2.3 auch für Microsoft Windows.

Von Andreas Schuster am 06.07.2007, 11:30 Uhr | Permalink

Das NIST hat Testberichte für die Write-Blocker FastBloc FE (mit USB- und FireWire-Schnittstelle) von GuidanceSoftware und Tableau T5 (ebenfalls mit USB- und FireWire-Schnittstelle) veröffentlicht.

Von Andreas Schuster am 05.07.2007, 08:00 Uhr | Permalink

Sebastian Krause, Security Consultant bei HiSolutions, beschreibt in einem Artikel in Ausgabe 07/07 der iX zahlreiche Werkzeuge für die Live-Response. Viele der Werkzeuge finden sich auf der dem Heft beiliegenden CD, darunter auch das Windows Forensic Toolchest (WFT) in der neuen Version 3.0.

Von Andreas Schuster am 02.07.2007, 08:00 Uhr | Permalink