« Juni 2008 | Übersicht | August 2008 »
Randnotizen
Spirovski Bozidar hat in seinem Blog "Information Security Short Takes" eine Aufgabe gestellt. Es gilt, das (kleine!) Abbild einer Festplatte auf regelwidrige Aktivitäten eines Mitarbeiters zu untersuchen. Ergebnisse können noch bis zum 20. August 2008 eingereicht werden. Als Preis winken Ruhm und Ehre.
Labor
Das US NAtional Institute of Standards and Technology hat den FTK Imager von AccessData in der Version 2.5.3.14. Der Testbericht stellt einige Abweichungen gegenüber dem Testplan fest.
So werden Sektoren im Bereich der Host Protected Area (HPA) und des Device Configuration Overlays (DCO) nicht gesichert. Bei der logischen Sicherung eines mit NTFS formatierten Volumes werden die letzten acht Sektoren nicht erfasst. Bemängelt wurde außerdem, dass der FTK Imager bei einem defekten Abbild nicht die Position des Fehlers meldet.
Randnotizen
Wie schon in den vergangenen Jahren, so wurde auch 2008 im Vorfeld des Digital Forensics Research Workshops wieder eine Aufgabe gestellt. Diesmal gilt es, das Arbeitsspeicherabbild eines Linux-Rechners zu untersuchen. Bereits jetzt, drei Wochen vor dem Workshop, wurden im Internet die ersten Ergebnisse veröffentlicht.
Speicheranalyse
Version 1.2 von mdd, einem Programm zur Erstellung von Arbeitsspeicherabbildern, wurde veröffentlicht. Laut Changelog ist das Programm jetzt statisch mit der msvcr80.dll gelinkt. Von dieser Version an muss man DLL also nicht mehr selber bereitstellen. Die Programmdatei steht bei Sourceforge zum Download bereit.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.