Archiv Dezember 2007

Suche nach Page Directories (3)

In einem Beitrag in seinem Blog beschreibt Jacky Wu, wie sich Page Directories in einem Speicherabbild von Microsoft Windows XP SP2 im PAE-Modus finden lassen.

Kreditkarten-Forensik

In der Dezember-Ausgabe (Vol. 50, Nr. 12) der Communications of the ACM untersucht Hal Berghel einige harmlos aussehende Magnetstreifenkarten. Sie kennen diese Karten als Parkschein, Geschenkgutschein aus dem Elektronikmarkt oder auch als Schlüssel zu einem Hotelzimmer. Berghel fand Kreditkartendaten auf ihnen.

Page Directory Pointer Table Template für den 010 Editor

In Zukunft werde ich mich noch häufiger mit Speicherabbildern beschäftigen müssen, die im PAE-Modus von Microsoft Windows gewonnen wurden. Als Hilfsmittel hierzu veröffentliche ich ein Template für den 010 Editor, das von der Page Directory Pointer Table bis hinunter zum Page Table Entry alle Strukturen aufschlüsselt.

Das Journal des ext3-Dateisystems

In seiner Arbeit Taking advantage of Ext3 journaling file system in a forensic investigation beschreibt Gregorio Narváez ausführlich das Journal des ext3-Dateisystems.

JPEG-Quantisierungstabellen manipulieren (2)

Im vorherigen Beitrag habe ich gezeigt, wie sich durch eine Manipulation an der Quantisierungstabelle der Ursprung eines JPEG-Bildes verschleiern lässt. In diesem Artikel verändere ich eine Grafik derart, dass sie aus einer Digitalkamera zu stammen scheint. Zumindest versuche ich es.

JPEG-Quantisierungstabellen manipulieren (1)

Mark Cox wies mich per E-Mail darauf hin, dass Quantisierungstabellen leicht manipuliert werden können. Das ist richtig! In diesem Beitrag gebe ich ein erstes Beispiel dafür, wie sich der Ursprung einer Grafik verschleiern lässt.

Persistenz von Daten im Userland

In einem Artikel im Journal "Digital Investigation" untersuchen Jason Solomon, Ewa Huebner, Derek Bem und Magdalena Szeżynska die Persistenz von Daten im Userland unter SuSE Linux 10.0 und Microsoft Windows XP SP2. Für beide Betriebssysteme stellen die Autoren fest, dass 5 Minuten nach Beendigung eines Prozesses nur noch einige wenige Speicherseiten aus dem Userland rekonstruierbar sind.

13.02.2008: DFN-Workshop "Sicherheit in vernetzten Systemen"

Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.

13.12.2007: CAST-Workshop " Forensik und Internet-Kriminalität"

Der CAST e.V. veranstaltet am 13.12.2007 von 10:00 bis 17:00 Uhr in Darmstadt einen Workshop zu "Forensik und Internet-Kriminalität".

Handbuch zur EDV-Beweissicherung

Im Boorberg Verlag ist das Handbuch zur EDV-Beweissicherung im Strafverfahren von Dr. Wolfgang Bär erschienen. Auf knapp 400 Seiten betrachtet das Handbuch unter anderem Eingriffe in die Telekommunikation, Durchsuchungen und Beschlagnahmen, den Umgang mit verschlüsseltem Material und die Zusammenarbeit der Behörden auf internationaler Ebene. Im Anhang finden sich zahlreiche Formulare für die richterliche Anordnung der einzelnen Maßnahmen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12