PTFinder für Vista

In letzter Zeit erhielt ich vermehrt Anfragen nach einem PTFinder für Microsoft Vista. Die notwendigen Anpassungen an den Kernel 6.0.6000.16386 erwiesen sich als nicht trivial. Eine BETA-Version ist jetzt in der aktuellen PTFinder-Collection verfügbar.

Wie schon früher gezeigt, gibt es bedeutende Änderungen zwischen XP und Server 2003 einerseits und Vista andererseits. Durch den Wegfall weiterer DISPATCHER_HEADER innerhalb der Datenstrukturen EPROCESS und ETHREAD waren erhebliche Anpassungen an der Erkennungs-Logik erforderlich.

Neu hinzugekommen ist die Option --pool, die die Erkennung an einem Teil des POOL_HEADER abstützt. Hierdurch sinkt die Anzahl falsch positiver Treffer, Allerdings bleiben dann auch einige Artefakte beendeter Prozesse unerkannt. Deshalb ist diese Option standardmäßig deaktiviert.

Für umfangreiche Tests und Fehlerberichte danke ich Umang Desai (Georgia Institute of Technology). Über weitere Erfahrungsberichte dieser BETA-Version würde ich mich freuen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12