Archiv Oktober 2007

Anordnung der JPEG-Quantisierungstabellen

In einem früheren Beitrag habe ich das Datenformat der Quantisierungstabellen innerhalb von JPEG-Dateien beschrieben. Bei genauerer Betrachtung zeigt sich dabei, dass die Tabellen auf zwei Arten gespeichert werden können.

md5deep Version 2.0

Jesse Kornblum hat die Version 2.0 seines Programms md5deep veröffentlicht. Unter Microsoft Windows werden jetzt auch Unicode-Zeichen in Dateinamen verarbeitet. Außerdem kann md5deep jetzt auch Hash-Datenbanken im Format von EnCase (.hash) lesen. Außerdem wurden einige Fehler beseitigt; Einzelheiten enthält das Changelog

Hashing von Programmdateien

BinHash von Chris Rohls berechnet die üblichen Prüfsummen wie MD5 und SHA-1 von Programmdateien in den Formaten ELF (Unix) und PE (Microsoft Windows). Im Gegensatz zu anderen Tools werden die Summen jedoch nicht über die ganze Datei, sondern für jeden Abschnitt gesondert berechnet und angezeigt. Der Autor nutzt es für den Vergleich von Schadsoftware, ich hatte derartiges für Zwecke der Speicheranalyse vorgeschlagen. 14.12.2011: Eine Kopie des Beitrags gibt es im Web Archiv.

Templates für Gruppen in der SAM

In einem früheren Beitrag hatte ich beschrieben, wie sich mit Hilfe eines Hexeditors die Mitglieder einer Bernutzergruppe aus der Datenbank des Security Account Managers auslesen lassen. 

Auf Bitten eines Lesers veröffentliche ich nun hierzu das vollständige Template für den 010 Editor.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12