« Januar 2008 | Übersicht | März 2008 »

Speicheranalyse

64bit Magic

Dieser kurze Beitrag enthält lediglich einen aktualisierten Codeschnipsel für die Datei magic(5), mit deren Hilfe das Unix-Dienstprogramm file(1) DMP-Dateien von 32bit- und 64bit-Systemen erkennen und ihre wichtigsten Daten anzeigen kann.

(mehr...)

Speicheranalyse

64bit Crash Dumps

Die Crash Dumps der 32bit- und der 64bit-Versionen von Microsoft Windows unterscheiden sich deutlich. Da 64bit-Maschinen immer häufiger anzutreffen sind, gebe ich in diesem Beitrag einige Hinweise zur Struktur der zugehörigen Crash Dumps.

(mehr...)

Speicheranalyse

Sandman Version 1.0.080226

Matthieu Suiche und Nicolas Ruff haben die erste öffentliche Version von Sandman veröffentlicht.

(mehr...)

Randnotizen

Ein Blog aus den Niederlanden

Durch Zufall bin ich auf das Blog 8 bits von Mark Stam gestoßen. Er schreibt über IT, Informationssicherheit und digitale Forensik. Leider schreibt er nur auf Niederländisch. Andererseits finde ich, dass sich der Inhalt auch so gut erfassen lässt. Und zur Not gibt es noch Google Translate.

Speicheranalyse

Akquisition (6): Die Guillotine

Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.

(mehr...)

Speicheranalyse

Registry Hives im Arbeitsspeicher

Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.

(mehr...)

Termine

05.03.2008: Forensiker-Treffen auf der CeBIT

Die ACME Portable Computer GmbH veranstaltet am 5. März 2008 an ihrem Messestand auf der CeBIT eine Forensic Night. Neben reichlich Gelegenheit zum Kennenlernen und Erfahrungsaustausch sind zwei Vorträge geplant. Alexander Geschonneck wird über die IT-Forensik unter Vista sprechen, während eTRACE die Untersuchung des Betriebssystems Linux betrachtet. Weitere Informationen zur Anmeldung gibt es bei ACME.

Speicheranalyse

Akquisition (5): FireWire

Eine einfache und zuverlässige Methode zur Erstellung von Speicherabbildern ist der Zugriff über FireWire. In diesem Beitrag beschreibe ich die Datensicherung mit Hilfe der Helix Boot CD.

(mehr...)

Labor

dc3dd, Version 6.9.91

Jesse Kornblum hat die erste Version seines neuen Programms dc3dd zur forensisch sicheren Kopie von Datenträgern freigegeben. Das Programm basiert auf GNU dd aus den coreutils (was dann auch die Versionsnummer erklärt). Es enthält dabei viele Funktionen des bekannten dcfldd.

(mehr...)