Archiv April 2008

Die Implementierung von Hersteller "S"

Der einführende Beitrag wies bereits auf einige Ähnlichkeiten und Unterschiede in "unabhängigen" Implementierungen einer bestimmten Routine durch drei Hersteller hin. In diesem Artikel werde ich zwei der drei Implementierungen mit einander vergleichen. Und bei der Gelegenheit werde ich dann das Geheimnis um die Identität zumindest zweier Hersteller lüften.

Die drei Hersteller

Ein aktueller Vorfall hat mich veranlasst, mich ein wenig genauer mit Software-Forensik zu beschäftigen. Genauer gesagt geht es in diesem Fall um die Erkennung eines Plagiats. In diesem Beitrag schildere ich den Fall und zeige einen einfachen Indikator zur Erkennung von Ähnlichkeiten in Programmen.

FTK 2.0 - Sicherheit

Während ich versuchte, FTK 2.0 besser auf meine Bedürfnisse abzustimmen, fand ich einige Einstellungen, die für die Datensicherheit im Labor von Bedeutung sein könnten. Ich kontaktierte den Support des Herstellers AccessData und berichtete ihm meine Beobachtungen. Der Support reagierte unverzüglich und kündigte an, die Probleme in der kommenden Version zu beheben. Nachdem nun diese Version, FTK 2.0.2 veröffentlicht wurde, erläutere ich hier die Schwachstellen.

Windows Log Forensics

In der Ausgabe 16 des kostenlosen Magazins (IN)SECURE beschreibt Rob Faber die Funktionsweise und die Möglichkeiten des Ereignisprotokolls von Microsoft Windows. Er betrachtet dabei sowohl das alte Protokoll der NT-Familie und den für Vista und den Windows Server 2008 überarbeiteten Dienst.

SSdeep Version 2.0

SSdeep verwendet die Technik des Fuzzy Hashings, um Ähnlichkeiten zwischen Dateien festzustellen. Jesse Kornblum hat nun die Version 2.0 des Programms veröffentlicht.

Folien vom 15. DFN-Workshop

Die Folien meines Vortrags über Grundlagen und neue Techniken des File Carvings sind jetzt online verfügbar. Eine Aufzeichnung des Vortrags kann gegen Gebühr im Archiv des Linux-Magazins abgerufen werden.

FTK 2.0 - Geschwindigkeit

| 1 Kommentar

Soeben habe ich einen weiteren Versuch mit dem neuen FTK 2.0 beendet: das Aufbereiten eines USB-Sticks mit 256 MB Kapazität führte zu einem Volltextindex von gut 3 GB und etwa 200 MB in der Oracle-Datenbank. Die Bearbeitungszeit hierfür betrug allerdings mehr als 4 Stunden. Grund genug, die Dinge einmal genauer zu betrachten.

FTK 2.0 - Ein Absturz und die Folgen

Während ich meinen ersten Fall mit dem neuen FTK 2.0 anlegte, stellte das Programm plötzlich die Arbeit ein. Doch zu meiner Überraschung war dann doch nicht alles verloren.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12