Archiv August 2007

Ein Parser für Vistas Ereignisprotokolldateien

| 1 Kommentar

Ich freue mich, die erste Version meines Parsers für Vista Ereignisprotokolle veröffentlichen zu können. Das Archiv besteht zum größten Teil aus Perl-Modulen, die die mir derzeit bekannten internen Strukturen des Dateiformats implementieren. Weiterhin enthalten sind zwei Beispielanwendungen, die binäres XML in eine Textdarstellung umwandeln. Diese erste Version begleitet meinen Vortrag auf dem DFRWS 2007 in Pittsburgh.

Kritisches Update der Tableau-Firmware

Tableau hat für seine Write Blocker die Firmware Version 4.3 zum Download bereitgestellt (Registrierung erforderlich). Die Firmware behebt einen kritischen Fehler bei der Sicherung von Festplatten mit defekten Sektoren sowie weitere weniger bedeutsame Probleme.

Evtx Datentypen

Als eine der wichtigsten Neuerungen unterstützt das neue Ereignisprotokoll zahlreiche Datentypen. Soweit diese oberhalb der Programmierschnittstelle Verwendung finden, sind sie in einer C-Headerdatei (WinEvt.h) und natürlich im Microsoft Developer Network dokumentiert.

Spickzettel für das Sicherheitsprotokoll

| 1 TrackBack

Kennen Sie die Bedeutung der Ereignis-Codes im Sicherheitsprotokoll von Windows NT, 2000, XP und 2003? Einen Spickzettel mit diesen in der forensischen Analyse oftmals benötigten Werten hält das "Digital Forensics Institute" zum Download bereit. (via e-evidence.info)

Von Volatools zu Volatility

Es gibt ein neues Tool für die Analyse von Windows-Speicherabbildern: Volatility. Auf den ersten Blick erinnert es an Volatools, und doch ist vieles neu.

Ein Template für SubstitutionArrays

In einem früheren Beitrag habe ich die Funktionsweise von Platzhaltern innerhalb des XML-Datenstroms und ihre Verbindung zum "SubstitutionArray" beschrieben. Wenn man die XML-Struktur kennt oder zumindest eine wohlbegründete Vermutung über ihre Form anstellen kann, dann reduziert sich die Aufgabe der Transformation von der binären in die textuelle Darstellung letztlich auf die Analyse des SubstitutionArrays. Als Hilfestellung habe ich hierzu einige Templates für den 010 Editor erstellt.

13.09.2007: Workshop zur Speicheranalyse unter Microsoft Windows

Ich freue mich mitteilen zu können, dass ich am 13. September 2007 im Rahmen der IMF Konferenz in Stuttgart einen Workshop über die Speicheranalyse unter Microsoft Windows abhalten werde.

11.09.2007: IMF 2007

Die Fachgruppe SIDAR der Deutschen Gesellschaft für Informatik e.V. veranstaltet am 11. und 13. September 2007 ihre dritte "Internationale Konferenz für IT-Incident Management und IT-Forensics", kurz IMF 2007. Tagungsort soll wieder das Fraunhofer IAO in Stuttgart sein.

Das Programm wurde jetzt veröffentlicht. Es wurde um einen dritten Tag erweitert, der ganz im Zeichen von Workshops steht.

14.12.2011: Die Folien der Vorträge sind hier archiviert.

Substitution

Der Mechanismus der "Substitution" ermöglicht es, die XML Struktur von den eigentlichen Inhalten zu trennen. Die veränderlichen Daten werden dabei in eine Tabelle, das Substitution Array, ausgelagert. Platzhalter im XML-Datenstrom, die beiden NormalSubstitution und OptionalSubstitution genannten Token, stellen dann die Verbindung her.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12