Dieser kurze Beitrag enthält lediglich einen aktualisierten Codeschnipsel für die Datei magic(5), mit deren Hilfe das Unix-Dienstprogramm file(1) DMP-Dateien von 32bit- und 64bit-Systemen erkennen und ihre wichtigsten Daten anzeigen kann.
Die Crash Dumps der 32bit- und der 64bit-Versionen von Microsoft Windows unterscheiden sich deutlich. Da 64bit-Maschinen immer häufiger anzutreffen sind, gebe ich in diesem Beitrag einige Hinweise zur Struktur der zugehörigen Crash Dumps.
Matthieu Suiche und Nicolas Ruff haben die erste öffentliche Version von Sandman veröffentlicht.
Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.
Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.
Eine einfache und zuverlässige Methode zur Erstellung von Speicherabbildern ist der Zugriff über FireWire. In diesem Beitrag beschreibe ich die Datensicherung mit Hilfe der Helix Boot CD.
Jesse Kornblum hat die erste Version seines neuen Programms dc3dd zur forensisch sicheren Kopie von Datenträgern freigegeben. Das Programm basiert auf GNU dd aus den coreutils (was dann auch die Versionsnummer erklärt). Es enthält dabei viele Funktionen des bekannten dcfldd.
