Archiv Juli 2007

Guidance Software und Access Data haben in den letzten Tagen wieder ihre Forensik-Produkte aktualisiert.

Der bei weitem größte Teil eines Ereignis-Eintrags entfällt auf Daten in einer binären Darstellung von XML. Ich werde die Interna dieser komplexen Struktur in einer Serie von Beiträgen erklären. Heute beginne ich mit einer Übersicht über das XML Schema.

Ich freue mich, die erste Version eines Templates für den 010 Editor veröffentlichen zu können, das die äußeren Strukturen eines Vista Event Logs analysiert. Mit "äußeren Strukturen" bezeichne ich die bereits in diesem Blog dargestellten Strukturen vom Datei-Header bis hin zum einzelnen Ereignis-Eintrag. Die Analyse des binären XML innerhalb eines Ereignis-Eintrags wird jedoch einem komplexeren Werkzeug vorbehalten bleiben, das ich innerhalb der nächsten Wochen an dieser Stelle veröffentlichen werde.

Dieser Beitrag beschreibt die Struktur eines Ereignis-Eintrags in den Protokolldateien (.evtx) von Windows Vista. Die Ereignis-Einträge werden in den Blöcken gespeichert. Dort folgen sie, einer nach dem anderen, unmittelbar auf den Block-Header.

Dieser Beitrag dokumentiert den Evtx Datei-Header. Der Header enthält grundlegende Informationen über eine Protokolldatei.

"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.

Die Bibliotheken und Programme des Advanced Forensic Formats, kurz AFF, gibt es seit der Version 2.3 auch für Microsoft Windows.

Das NIST hat Testberichte für die Write-Blocker FastBloc FE (mit USB- und FireWire-Schnittstelle) von GuidanceSoftware und Tableau T5 (ebenfalls mit USB- und FireWire-Schnittstelle) veröffentlicht.

Sebastian Krause, Security Consultant bei HiSolutions, beschreibt in einem Artikel in Ausgabe 07/07 der iX zahlreiche Werkzeuge für die Live-Response. Viele der Werkzeuge finden sich auf der dem Heft beiliegenden CD, darunter auch das Windows Forensic Toolchest (WFT) in der neuen Version 3.0.