« Januar 2008 | Übersicht | März 2008 »
Speicheranalyse
Dieser kurze Beitrag enthält lediglich einen aktualisierten Codeschnipsel für die Datei magic(5), mit deren Hilfe das Unix-Dienstprogramm file(1) DMP-Dateien von 32bit- und 64bit-Systemen erkennen und ihre wichtigsten Daten anzeigen kann.
Speicheranalyse
Die Crash Dumps der 32bit- und der 64bit-Versionen von Microsoft Windows unterscheiden sich deutlich. Da 64bit-Maschinen immer häufiger anzutreffen sind, gebe ich in diesem Beitrag einige Hinweise zur Struktur der zugehörigen Crash Dumps.
Speicheranalyse
Matthieu Suiche und Nicolas Ruff haben die erste öffentliche Version von Sandman veröffentlicht.
Randnotizen
Durch Zufall bin ich auf das Blog 8 bits von Mark Stam gestoßen. Er schreibt über IT, Informationssicherheit und digitale Forensik. Leider schreibt er nur auf Niederländisch. Andererseits finde ich, dass sich der Inhalt auch so gut erfassen lässt. Und zur Not gibt es noch Google Translate.
Speicheranalyse
Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.
Speicheranalyse
Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.
Termine
Die ACME Portable Computer GmbH veranstaltet am 5. März 2008 an ihrem Messestand auf der CeBIT eine Forensic Night. Neben reichlich Gelegenheit zum Kennenlernen und Erfahrungsaustausch sind zwei Vorträge geplant. Alexander Geschonneck wird über die IT-Forensik unter Vista sprechen, während eTRACE die Untersuchung des Betriebssystems Linux betrachtet. Weitere Informationen zur Anmeldung gibt es bei ACME.
Speicheranalyse
Eine einfache und zuverlässige Methode zur Erstellung von Speicherabbildern ist der Zugriff über FireWire. In diesem Beitrag beschreibe ich die Datensicherung mit Hilfe der Helix Boot CD.
Labor
Jesse Kornblum hat die erste Version seines neuen Programms dc3dd zur forensisch sicheren Kopie von Datenträgern freigegeben. Das Programm basiert auf GNU dd aus den coreutils (was dann auch die Versionsnummer erklärt). Es enthält dabei viele Funktionen des bekannten dcfldd.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.