« Mai 2008 | Übersicht | Juli 2008 »
Randnotizen
Vor einiger Zeit habe ich die Implementierungen der Funktion XpressDecode im NTLDR von Windows XP mit der des Sandman Projekts verglichen. Ich fand damals etliche Unterschiede. Aber da gibt es auch noch eine dritte Implementierung in einer bekannten kommerziellen Forensik-Software. Dieses Programm wurde im März 2008 veröffentlicht, etwa einen Monat später als der Sandman. Betrachten wir dieses Programm also einmal etwas genauer.
Speicheranalyse
Volatile Systems hat die Version 1.1.2 von Volatility, einem Programm zur Untersuchung von Speicherabbildern, veröffentlicht. Hauptsächlich behebt diese Version einige Fehler. Das Programm kann Speicherabbilder von Microsoft Windows XP SP2 und SP3 analysieren.
Bibliothek
Das Linux-Magazin behandelt in seiner Ausgabe 6/2008 die IT-Forensik mit einer Dichte von Artikeln, die es in einer deutschsprachigen Publikumszeitschrift sicherlich so schnell nicht wieder geben wird.
Speicheranalyse
Der Aufsatz Aquiring Volatile Operating System Data Tools and Techniques von Iain Sutherland, Jon Evans, Theodore Tryfonas und Andrew Blyth beurteilt die Möglichkeiten, aber auch die Auswirkungen zahlreicher Programme, die häufig in der Live Response und zur Sicherung flüchtiger Daten verwendet werden. Der Artikel erschien im April 2008 im Journal ACM SIGOPS Operating Systems Review. Leider ist der Artikel nicht kostenfrei erhältlich.
Speicheranalyse
In den letzten Tagen und Wochen wurden drei neue Programme veröffentlicht, die unter Microsoft Windows den Inhalt des Hauptspeichers in eine Datei sichern können: WinEn von Guidance Software, mdd von ManTech und win32dd von Matthieu Suiche. Alle drei Programme verwenden einen Gerätetreiber, um auch unter Windows XP, dem Server 2003 und Vista auf den physischen Speicher zugreifen zu können.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.