« Juli 2007 | Übersicht | September 2007 »
Vista Eventlog
Ich freue mich, die erste Version meines Parsers für Vista Ereignisprotokolle veröffentlichen zu können. Das Archiv besteht zum größten Teil aus Perl-Modulen, die die mir derzeit bekannten internen Strukturen des Dateiformats implementieren. Weiterhin enthalten sind zwei Beispielanwendungen, die binäres XML in eine Textdarstellung umwandeln. Diese erste Version begleitet meinen Vortrag auf dem DFRWS 2007 in Pittsburgh.
Labor
Tableau hat für seine Write Blocker die Firmware Version 4.3 zum Download bereitgestellt (Registrierung erforderlich). Die Firmware behebt einen kritischen Fehler bei der Sicherung von Festplatten mit defekten Sektoren sowie weitere weniger bedeutsame Probleme.
Vista Eventlog
Als eine der wichtigsten Neuerungen unterstützt das neue Ereignisprotokoll zahlreiche Datentypen. Soweit diese oberhalb der Programmierschnittstelle Verwendung finden, sind sie in einer C-Headerdatei (WinEvt.h) und natürlich im Microsoft Developer Network dokumentiert.
NT Eventlog
Kennen Sie die Bedeutung der Ereignis-Codes im Sicherheitsprotokoll von Windows NT, 2000, XP und 2003? Einen Spickzettel mit diesen in der forensischen Analyse oftmals benötigten Werten hält das "Digital Forensics Institute" zum Download bereit. (via e-evidence.info)
Speicheranalyse
Es gibt ein neues Tool für die Analyse von Windows-Speicherabbildern: Volatility. Auf den ersten Blick erinnert es an Volatools, und doch ist vieles neu.
Vista Eventlog
In einem früheren Beitrag habe ich die Funktionsweise von Platzhaltern innerhalb des XML-Datenstroms und ihre Verbindung zum "SubstitutionArray" beschrieben. Wenn man die XML-Struktur kennt oder zumindest eine wohlbegründete Vermutung über ihre Form anstellen kann, dann reduziert sich die Aufgabe der Transformation von der binären in die textuelle Darstellung letztlich auf die Analyse des SubstitutionArrays. Als Hilfestellung habe ich hierzu einige Templates für den 010 Editor erstellt.
Termine
Ich freue mich mitteilen zu können, dass ich am 13. September 2007 im Rahmen der IMF Konferenz in Stuttgart einen Workshop über die Speicheranalyse unter Microsoft Windows abhalten werde.
Termine
Die Fachgruppe SIDAR der Deutschen Gesellschaft für Informatik e.V. veranstaltet am 11. und 13. September 2007 ihre dritte "Internationale Konferenz für IT-Incident Management und IT-Forensics", kurz IMF 2007. Tagungsort soll wieder das Fraunhofer IAO in Stuttgart sein.
Das Programm wurde jetzt veröffentlicht. Es wurde um einen dritten Tag erweitert, der ganz im Zeichen von Workshops steht.
Vista Eventlog
Der Mechanismus der "Substitution" ermöglicht es, die XML Struktur von den eigentlichen Inhalten zu trennen. Die veränderlichen Daten werden dabei in eine Tabelle, das Substitution Array, ausgelagert. Platzhalter im XML-Datenstrom, die beiden NormalSubstitution und OptionalSubstitution genannten Token, stellen dann die Verbindung her.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.