« März 2008 | Übersicht | Mai 2008 »
Randnotizen
Der einführende Beitrag wies bereits auf einige Ähnlichkeiten und Unterschiede in "unabhängigen" Implementierungen einer bestimmten Routine durch drei Hersteller hin. In diesem Artikel werde ich zwei der drei Implementierungen mit einander vergleichen. Und bei der Gelegenheit werde ich dann das Geheimnis um die Identität zumindest zweier Hersteller lüften.
Randnotizen
Ein aktueller Vorfall hat mich veranlasst, mich ein wenig genauer mit Software-Forensik zu beschäftigen. Genauer gesagt geht es in diesem Fall um die Erkennung eines Plagiats. In diesem Beitrag schildere ich den Fall und zeige einen einfachen Indikator zur Erkennung von Ähnlichkeiten in Programmen.
FTK 2
Während ich versuchte, FTK 2.0 besser auf meine Bedürfnisse abzustimmen, fand ich einige Einstellungen, die für die Datensicherheit im Labor von Bedeutung sein könnten. Ich kontaktierte den Support des Herstellers AccessData und berichtete ihm meine Beobachtungen. Der Support reagierte unverzüglich und kündigte an, die Probleme in der kommenden Version zu beheben. Nachdem nun diese Version, FTK 2.0.2 veröffentlicht wurde, erläutere ich hier die Schwachstellen.
NT Eventlog
In der Ausgabe 16 des kostenlosen Magazins (IN)SECURE beschreibt Rob Faber die Funktionsweise und die Möglichkeiten des Ereignisprotokolls von Microsoft Windows. Er betrachtet dabei sowohl das alte Protokoll der NT-Familie und den für Vista und den Windows Server 2008 überarbeiteten Dienst.
Labor
SSdeep verwendet die Technik des Fuzzy Hashings, um Ähnlichkeiten zwischen Dateien festzustellen. Jesse Kornblum hat nun die Version 2.0 des Programms veröffentlicht.
Carving
Die Folien meines Vortrags über Grundlagen und neue Techniken des File Carvings sind jetzt online verfügbar. Eine Aufzeichnung des Vortrags kann gegen Gebühr im Archiv des Linux-Magazins abgerufen werden.
FTK 2
Soeben habe ich einen weiteren Versuch mit dem neuen FTK 2.0 beendet: das Aufbereiten eines USB-Sticks mit 256 MB Kapazität führte zu einem Volltextindex von gut 3 GB und etwa 200 MB in der Oracle-Datenbank. Die Bearbeitungszeit hierfür betrug allerdings mehr als 4 Stunden. Grund genug, die Dinge einmal genauer zu betrachten.
FTK 2
Während ich meinen ersten Fall mit dem neuen FTK 2.0 anlegte, stellte das Programm plötzlich die Arbeit ein. Doch zu meiner Überraschung war dann doch nicht alles verloren.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.