for(ensik){blog;}

In einem Beitrag in seinem Blog beschreibt Jacky Wu, wie sich Page Directories in einem Speicherabbild von Microsoft Windows XP SP2 im PAE-Modus finden lassen.

Von Andreas Schuster am 27.12.2007, 10:00 Uhr | Permalink

In der Dezember-Ausgabe (Vol. 50, Nr. 12) der Communications of the ACM untersucht Hal Berghel einige harmlos aussehende Magnetstreifenkarten. Sie kennen diese Karten als Parkschein, Geschenkgutschein aus dem Elektronikmarkt oder auch als Schlüssel zu einem Hotelzimmer. Berghel fand Kreditkartendaten auf ihnen.

Von Andreas Schuster am 21.12.2007, 10:00 Uhr | Permalink

In Zukunft werde ich mich noch häufiger mit Speicherabbildern beschäftigen müssen, die im PAE-Modus von Microsoft Windows gewonnen wurden. Als Hilfsmittel hierzu veröffentliche ich ein Template für den 010 Editor, das von der Page Directory Pointer Table bis hinunter zum Page Table Entry alle Strukturen aufschlüsselt.

Von Andreas Schuster am 17.12.2007, 10:00 Uhr | Permalink

In seiner Arbeit Taking advantage of Ext3 journaling file system in a forensic investigation beschreibt Gregorio Narváez ausführlich das Journal des ext3-Dateisystems.

Von Andreas Schuster am 12.12.2007, 10:00 Uhr | Permalink

Im vorherigen Beitrag habe ich gezeigt, wie sich durch eine Manipulation an der Quantisierungstabelle der Ursprung eines JPEG-Bildes verschleiern lässt. In diesem Artikel verändere ich eine Grafik derart, dass sie aus einer Digitalkamera zu stammen scheint. Zumindest versuche ich es.

Von Andreas Schuster am 11.12.2007, 10:00 Uhr | Permalink

Mark Cox wies mich per E-Mail darauf hin, dass Quantisierungstabellen leicht manipuliert werden können. Das ist richtig! In diesem Beitrag gebe ich ein erstes Beispiel dafür, wie sich der Ursprung einer Grafik verschleiern lässt.

Von Andreas Schuster am 10.12.2007, 10:00 Uhr | Permalink

In einem Artikel im Journal "Digital Investigation" untersuchen Jason Solomon, Ewa Huebner, Derek Bem und Magdalena Szeżynska die Persistenz von Daten im Userland unter SuSE Linux 10.0 und Microsoft Windows XP SP2. Für beide Betriebssysteme stellen die Autoren fest, dass 5 Minuten nach Beendigung eines Prozesses nur noch einige wenige Speicherseiten aus dem Userland rekonstruierbar sind.

Von Andreas Schuster am 05.12.2007, 10:00 Uhr | Permalink

Der CAST e.V. veranstaltet am 13.12.2007 von 10:00 bis 17:00 Uhr in Darmstadt einen Workshop zu "Forensik und Internet-Kriminalität".

Von Andreas Schuster am 04.12.2007, 16:00 Uhr | Permalink

Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.

Von Andreas Schuster am 04.12.2007, 10:00 Uhr | Permalink

Im Boorberg Verlag ist das Handbuch zur EDV-Beweissicherung im Strafverfahren von Dr. Wolfgang Bär erschienen. Auf knapp 400 Seiten betrachtet das Handbuch unter anderem Eingriffe in die Telekommunikation, Durchsuchungen und Beschlagnahmen, den Umgang mit verschlüsseltem Material und die Zusammenarbeit der Behörden auf internationaler Ebene. Im Anhang finden sich zahlreiche Formulare für die richterliche Anordnung der einzelnen Maßnahmen.

Von Andreas Schuster am 03.12.2007, 10:00 Uhr | Permalink