« August 2008 | Übersicht | Oktober 2008 »
Speicheranalyse
Matthieu Suiche hat die Version 1.1 von win32dd veröffentlicht. Win32dd erstellt ein Abbild des Arbeitsspeichers, wobei ein Großteil des Codes im Kernelmode ausgeführt wird. Eine wesentliche Änderung in dieser Version ist, dass das Steuerprogramm im Userland sich jetzt erst beendet, nachdem das Abbild vollständig erstellt wurde. Dies erleichtert die Programmierung von Skripten erheblich.
Labor
Mit dem webbasierten pyFlag lassen sich Abbilder von Festplatten, des Arbeitsspeichers und aufgezeichnete Datenkommunikation untersuchen. Jetzt haben die Autoren diejenige Version für die Öffentlichkeit freigegeben, mit der sie den ersten Platz der Linux Memory Analysis Challenge des DFRWS 2008 erreichten. Das Programmpaket steht bei Sourceforge zum Download bereit. Einen ersten Eindruck von der Leistungsfähigkeit von pyFlag und den neuen Funktionen gibt die Lösung der DFRWS Challenge.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.