In einem Beitrag in seinem Blog beschreibt Jacky Wu, wie sich Page Directories in einem Speicherabbild von Microsoft Windows XP SP2 im PAE-Modus finden lassen.
Suche nach Page Directories (3) weiterlesen
Archiv Dezember 2007
In der Dezember-Ausgabe (Vol. 50, Nr. 12) der Communications of the ACM untersucht Hal Berghel einige harmlos aussehende Magnetstreifenkarten. Sie kennen diese Karten als Parkschein, Geschenkgutschein aus dem Elektronikmarkt oder auch als Schlüssel zu einem Hotelzimmer. Berghel fand Kreditkartendaten auf ihnen.
Kreditkarten-Forensik weiterlesen
In Zukunft werde ich mich noch häufiger mit Speicherabbildern beschäftigen müssen, die im PAE-Modus von Microsoft Windows gewonnen wurden. Als Hilfsmittel hierzu veröffentliche ich ein Template für den 010 Editor, das von der Page Directory Pointer Table bis hinunter zum Page Table Entry alle Strukturen aufschlüsselt.
In seiner Arbeit Taking advantage of Ext3 journaling file system in a forensic investigation beschreibt Gregorio Narváez ausführlich das Journal des ext3-Dateisystems.
Das Journal des ext3-Dateisystems weiterlesen
Im vorherigen Beitrag habe ich gezeigt, wie sich durch eine Manipulation an der Quantisierungstabelle der Ursprung eines JPEG-Bildes verschleiern lässt. In diesem Artikel verändere ich eine Grafik derart, dass sie aus einer Digitalkamera zu stammen scheint. Zumindest versuche ich es.
JPEG-Quantisierungstabellen manipulieren (2) weiterlesen
Mark Cox wies mich per E-Mail darauf hin, dass Quantisierungstabellen leicht manipuliert werden können. Das ist richtig! In diesem Beitrag gebe ich ein erstes Beispiel dafür, wie sich der Ursprung einer Grafik verschleiern lässt.
JPEG-Quantisierungstabellen manipulieren (1) weiterlesen
In einem Artikel im Journal "Digital Investigation" untersuchen Jason Solomon, Ewa Huebner, Derek Bem und Magdalena Szeżynska die Persistenz von Daten im Userland unter SuSE Linux 10.0 und Microsoft Windows XP SP2. Für beide Betriebssysteme stellen die Autoren fest, dass 5 Minuten nach Beendigung eines Prozesses nur noch einige wenige Speicherseiten aus dem Userland rekonstruierbar sind.
Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.
Der CAST e.V. veranstaltet am 13.12.2007 von 10:00 bis 17:00 Uhr in Darmstadt einen Workshop zu "Forensik und Internet-Kriminalität".
Im Boorberg Verlag ist das Handbuch zur EDV-Beweissicherung im Strafverfahren von Dr. Wolfgang Bär erschienen. Auf knapp 400 Seiten betrachtet das Handbuch unter anderem Eingriffe in die Telekommunikation, Durchsuchungen und Beschlagnahmen, den Umgang mit verschlüsseltem Material und die Zusammenarbeit der Behörden auf internationaler Ebene. Im Anhang finden sich zahlreiche Formulare für die richterliche Anordnung der einzelnen Maßnahmen.
Handbuch zur EDV-Beweissicherung weiterlesen
Abonnieren
