Archiv Juli 2007

Umwandlung in Token

Text zu parsen, kann eine sehr aufwändige Angelegenheit sein. Das gilt insbesondere im Fall von XML, das für seine geringe Informationsdichte bekannt ist. Unter der Annahme, dass die in XML abgefassten Ereignismeldungen mehrfach gelesen werden, kann die Umwandlung einzelner Elemente dieser Sprache in maschinell einfacher zu verarbeitende Symbole beträchtliche Rechenzeit einsparen und auch den Platzbedarf zur Speicherung der Daten herabsetzen.

Updates für EnCase und UTK

Guidance Software und Access Data haben in den letzten Tagen wieder ihre Forensik-Produkte aktualisiert.

Die innere Struktur

Der bei weitem größte Teil eines Ereignis-Eintrags entfällt auf Daten in einer binären Darstellung von XML. Ich werde die Interna dieser komplexen Struktur in einer Serie von Beiträgen erklären. Heute beginne ich mit einer Übersicht über das XML Schema.

Evtx-Template für den 010 Editor

Ich freue mich, die erste Version eines Templates für den 010 Editor veröffentlichen zu können, das die äußeren Strukturen eines Vista Event Logs analysiert. Mit "äußeren Strukturen" bezeichne ich die bereits in diesem Blog dargestellten Strukturen vom Datei-Header bis hin zum einzelnen Ereignis-Eintrag. Die Analyse des binären XML innerhalb eines Ereignis-Eintrags wird jedoch einem komplexeren Werkzeug vorbehalten bleiben, das ich innerhalb der nächsten Wochen an dieser Stelle veröffentlichen werde.

Evtx Ereignis-Eintrag

Dieser Beitrag beschreibt die Struktur eines Ereignis-Eintrags in den Protokolldateien (.evtx) von Windows Vista. Die Ereignis-Einträge werden in den Blöcken gespeichert. Dort folgen sie, einer nach dem anderen, unmittelbar auf den Block-Header.

Evtx Block-Header

Jede Protokolldatei enthält einen oder mehrere sogenannte "Blöcke" (chunks), die die Ereignismeldungen enthalten. Im Betrieb ist dabei jeweils nur der aktuelle Block einer Protokolldatei im Arbeitsspeicher abgebildet.

Evtx Datei-Header

Dieser Beitrag dokumentiert den Evtx Datei-Header. Der Header enthält grundlegende Informationen über eine Protokolldatei.

CarvFS im Einsatz

"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.

AFF für Windows

Die Bibliotheken und Programme des Advanced Forensic Formats, kurz AFF, gibt es seit der Version 2.3 auch für Microsoft Windows.

NIST testet Fastblock FE und Tableau T5

Das NIST hat Testberichte für die Write-Blocker FastBloc FE (mit USB- und FireWire-Schnittstelle) von GuidanceSoftware und Tableau T5 (ebenfalls mit USB- und FireWire-Schnittstelle) veröffentlicht.

Live-Response in der iX

Sebastian Krause, Security Consultant bei HiSolutions, beschreibt in einem Artikel in Ausgabe 07/07 der iX zahlreiche Werkzeuge für die Live-Response. Viele der Werkzeuge finden sich auf der dem Heft beiliegenden CD, darunter auch das Windows Forensic Toolchest (WFT) in der neuen Version 3.0.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12