PoolTools Version 1.3.0

Von Andreas Schuster am 05.11.2007 um 10:00 Uhr | 1 TrackBack
Nach einem Jahr habe ich die PoolTools überarbeitet. Die einzelnen Programme der neuen Version tauschen Daten jetzt über eine SQLite-Datenbank aus. Ein (experimentelles) Programmpaket enthält die Tools als eigenständige Version mit eingebettetem Perl-Interpreter.
Die PoolTools bestehen aus folgenden Programmen:
  • PoolFinder - findet Allokationen des Betriebssystemkerns in Arbeitsspeicherabbildern und Auslagerungsdateien (pagefile.sys)
  • PoolGrep - findet Zeichenfolgen in den Allokationen
  • PoolDump - stellt alle Allokationen einer Klasse als Hexdump dar
Ein weiteres Programm, PoolView, stellt ausgewählte Allokationen in einer einfacher verständlichen Form dar. Dieses Programm ist auf Anfrage für einschlägige Behörden und Expertengruppen verfügbar. Die Verwendung von SQLite anstelle der Textdateien reduziert dem Umfang der Arbeitsdateien und steigert die Verarbeitungsgeschwindigkeit erheblich. Vor allem aber erschließt es die volle Leistung von SQL für die Untersuchung der aufgefundenen Allokationen. Den Perl-Code der Version 1.3.00 gibt es hier. Wer keinen Perl-Interpreter installiert hat, darf gerne die experimentelle Version mit eingebettetem Interpreter testen.

Kategorien:

Tags:

1 TrackBack

neue Version der PoolTools von Andreas Schuster von computer-forensik.org zu 5.11.07 3:22

Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert. Die PoolTools bestehen aus folgenden Programmen: PoolFinder - findet Allokationen des Betriebssystemkerns ... Weiterlesen

Suchen

English

International edition

Aktuelle Einträge

Rubriken

Archiv

Tag-Wolke

Abonnieren

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12