Vista Eventlog
Evtx Parser Version 1.0.3
Ab sofort steht die Version 1.0.3 des Parsers für Ereignisprotokolle von Vista und Windows 2008 zum Download bereit. Die neue Version behebt einige Fehler und enthält auch kleinere Neuerungen.
« Dezember 2009 | Übersicht | März 2010 »
Blog
Test von Löschwerkzeugen
Das US NIST hat Hard- und Software zum Löschen von Festplatten getestet. Verwendet werden diese Löschwerkzeuge zum Beispiel dann, wenn ein während der Fallbearbeitung genutzter Datenträger nicht mehr länger benötigt wird. Das sichere Löschen der Daten soll einerseits verhindern, dass schutzwürdige Informationen unbeabsichtigt verbreitet werden.
Ausserdem müssen Daten, die zu unterschiedlichen Fällen gehören, sauber getrennt werden. Dies ist einfach zu erreichen, indem man für jeden Fall einen eigenen, "sterilen", Datenträger verwendet.
Labor
010 Editor Version 3.1.0
Der 010 Editor, ein Hex-Editor ist für mich zu einem unverzichtbaren Werkzeug für der Untersuchung von Dateien geworden. Jetzt haben die Autoren die Version 3.1 veröffentlicht, die eine Vielzahl neuer Funktionen enthält.
Vista Eventlog
Protokolleinträge sortieren
Mit der Zeit musste ich leider feststellen, dass unterschiedliche Programme die einzelnen Ereignisse in einer Protokolldatei in unterschiedlicher Reihenfolge ausgeben. Die Ereignisanzeige in Microsoft Vista und Windows 2008 zum Beispiel sortiert beim Exportieren die Ereignisse in absteigender Reihenfolge von der höchsten zur niedrigsten EventRecordID. Mein eigenes Programm hingegen gibt die Ereignisse in der Reihenfolge wieder, wie es sie in der Datei findet. In den meisten Fällen wird dies in aufsteigender Reihenfolge von der niedrigsten zur höchsten EventRecordID sein. Allerdings lassen sich Protokolle auch in ihrer Größe beschränken; der älteste Teil wird dann bei Bedarf überschrieben. Die niedrigste EventRecordID findet man in diesem Fall mitten in der Datei. Wäre es nicht schön, wenn man diese Dateien einfach sortieren könnte?
Suche
English
International edition
Rubriken
- Bibliothek (18)
- Blog (3)
- Labor (60)
- FTK 2 (5)
- Randnotizen (36)
- Termine (24)
- Themen
- Carving (14)
- Multimedia (8)
- Netzwerk-Forensik (3)
- Software-Forensik
- Visualisierung (4)
- Windows (7)
- NT Eventlog (15)
- Speicheranalyse (97)
- Vista Eventlog (22)
Archive
- April 2010
- März 2010
- Februar 2010
- Dezember 2009
- Oktober 2009
- Juni 2009
- Mai 2009
- April 2009
- März 2009
- Februar 2009
- November 2008
- Oktober 2008
- September 2008
- August 2008
- Juli 2008
- Juni 2008
- Mai 2008
- April 2008
- März 2008
- Februar 2008
- Januar 2008
- Dezember 2007
- November 2007
- Oktober 2007
- September 2007
- August 2007
- Juli 2007
- Juni 2007
- Mai 2007
- April 2007
- März 2007
- Februar 2007
- Januar 2007
- Dezember 2006
- November 2006
- Oktober 2006
- September 2006
- August 2006
- Juli 2006
- Juni 2006
- Mai 2006
- April 2006
- März 2006
- Februar 2006
- Januar 2006
- Dezember 2005
- November 2005
- Oktober 2005
- September 2005
Neueste Einträge
Abonnieren
Impressum
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.