for(ensik){blog;}

Evtx Parser Version 1.1.1

2011-11-28T09:00:00Z

Evtx Parser, die Perl Bibliothek und Skriptsammlung zum Auslesen von Windows Ereignisprotokollen ist ab sofort in Version 1.1.1 verfügbar. Diese Version beseitigt ein Speicherleck. Ich danke Heinz Mueller für die Fehlermeldung und Hilfe beim Testen.

Evtx Parser Version 1.1.0

2011-11-11T10:11:00Z

Ich freue mich, nach längerer Entwicklungszeit eine neue Version meines Evtx Parsers veröffentlichen zu können. Version 1.1.0 erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen.

Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind jetzt als Download (ZIP) verfügbar.

]]> Die Bibliothek erkennt jetzt auch CDATA sections (Knotentyp 0x07), Referenzen auf XML Entitäten wie zum Beispiel & (Knotentyp 0x09) und XML Verarbeitungsanweisungen (Knotentypen 0x0a und 0x0b).

Neu hinzugekommen sind 13 Module, die Felder von Ganzzahlen, Fließkommazahlen einfacher und doppelter Genauigkeit, GUIDs, FILETIME und SYSTEMTIME Strukturen analysieren und darstellen.

Vor einigen Monaten erhielt ich einen Hinweis auf einen XML Knotentyp 0x08, doch leider konnte mir der Anwender keine Beispieldaten zur Verfügung stellen. Bislang ist es mir auch nicht gelungen, diesen Knotentyp unter Windows 7 und mit dem SDK 7A selbst zu erzeugen. Obwohl es sich um einen sehr seltenen Knotentyp handelt, möchte ich gerne ein entsprechendes Modul erstellen. Sollten Sie in einer Fehlermeldung einen Hinweis auf diesen Knotentyp sehen, so würde ich mich über die Zusendung der Protokolldatei oder zumindest des betreffenden Eintrags sehr freuen.

Bei dieser Gelegenheit danke ich einmal mehr der Anwendergemeinschaft für die Unterstützung, die ich durch qualifizierte Fehlermeldungen und die Einsendung von Beispieldaten erfahren durfte. Beides hat mir geholfen, meine Kenntnisse über den Ereignisprotokolldienst zu vertiefen und meine Programme ständig zu verbessern. Besonders danke ich Mark Woan dafür, dass er mir an die jeweiligen Probleme angepasste Datensätze zur Verfügung stellte und mir zeigte, wie ich Testdatensätze selber produzieren kann. Ich beabsichtige, in den nächsten Wochen meine Testdaten schrittweise zu veröffentlichen, um damit die laufenden Projekte zur Validierung von Forensik-Programmen zu unterstützen.

Forensic Technologies Preview Day 2011

2011-08-23T09:00:00Z

Praktiker schätzen die mh Service GmbH in Karlsruhe seit Jahren als Lieferant von Hard- und Software für die IT-Forensik. Am 11. und 12. Oktober 2011 veranstaltet das Unternehmen zum dritten Mal seine Hausmesse, den Forensic Technologies Preview Day, mit Fachvorträgen und Workshops.

]]> Dass man das ganze Spektrum der von mh Service vertriebenen Hard- und Softwareprodukte vorgeführt bekommt, ist für eine Hausmesse natürlich nicht besonders, aber überaus praktisch, wenn man vergleichen und eine Kaufentscheidung treffen will.

Was den Forensic Technology Preview Day jedoch auszeichnet, sind die Firmenvorträge mit durchweg hochkarätigen Referenten. So konnte ich letztes Jahr direkt von Robert Botchek, dem Gründer von Tableau, viel über die Interna des Tableau Imagers und seines Ansatzes zur Steigerung des Datendurchsatzes durch Multithreading erfahren. Dieses Jahr sind unter anderem Inhaber beziehungsweise Entwickler von Belkasoft, Oxygen und Passware zu Gast in Karlsruhe und es verspricht, wieder sehr interessant zu werden.

Erstmals wird sich die Veranstaltung auch über zwei Tage erstrecken, wobei am zweiten Tag Workshops zu ausgewählten Produkten angeboten werden. Damit gibt es einen guten Grund mehr, in Karlsruhe zu übernachten und sich Abends mit Freunden und Kollegen aus der Forensik-Szene zu treffen.

Die Teilnahme an der Veranstaltung ist kostenlos. Weitere Informationen zum Programm und Hinweise zur Anmeldung gibt es auf der Website des Veranstalters.

Evtx Parser Version 1.0.8

2011-06-09T09:00:00Z

Meine Bibliothek und Programmsammlung zum Auslesen von Windows Ereignisprotokollen ist in Version 1.0.8 erschienen. Während es nur kleinere Verbesserungen am Programmcode gibt, hat sich die Organisation des Archivs grundlegend geändert. Ich entschuldige mich schon vorab für etwaige Unannehmlichkeiten, die diese Änderung verursacht. Die aktuelle Version ist hier verfügbar.

]]> Zu den wesentlichen Änderungen seit der Version 1.0.7 gehören:

Alle von BxmlNode abgeleiteten Objekte geben jetzt einen kurzen Hex Dump mit den Rohdaten aus, wenn sie auf ein unbekanntes Konstrukt treffen. Bitte senden Sie mir diese Daten wenn irgend möglich, um mir die Verbesserung des Parsers zu ermöglichen.

Evtx.pm liest jetzt die Nummer des ältesten Chunks aus dem Dateikopf und macht diese Information in der Variablen OldestChunk verfügbar. Bitte beachten Sie, dass der älteste Chunk nicht notwendigerweise auch der erste in der Datei ist. Das Beispielprogramm evtxinfo.pl zeigt jetzt den ältesten und den gegenwärtig aktiven Chunk an:

$ evtxinfo.pl rotated.evtx Information from file header: Format version : 3.1 Flags : 0x00000000 File is: clean Log is full: no Current chunk : 2 of 16 Oldest chunk : 3 Next Record# : 5257 Check sum : pass

Information from chunks:
Chunk file (first/last) log (first/last) Header Data - ----- --------------------- --------------------- ------ ------ 1 4681 4976 4902 5197 pass pass * 2 4977 5035 5198 5256 pass pass > 3 593 888 814 1109 pass pass 4 889 1135 1110 1356 pass pass 5 1136 1431 1357 1652 pass pass ...

Der Stern (*) markiert den aktuellen Chunk, die spitze Klammer (>) zeigt den ältesten Chunk an.

Richard W. M. Jones ergänzte die Beispielprogramme um erklärende Texte im POD Format. Er stellte mir auch ein einfaches Build-System zur Installation der Bibliothek zur Verfügung, was allerdings einige Änderungen am Archiv nach sich zog. Für die Unterstützung danke ich Richard sehr herzlich!

Ab sofort wird das Archiv Parse-Evtx-.zip heißen; Parse-Evtx-current.zip verweist auf die jeweils aktuelle Version. Den bisherigen Verweis EvtxParse-current.zip wird es aber weiterhin geben.

Die Bibliothek und die Beispielprogramme lassen sich nun in der für Perl Module üblichen Weise installieren:

$ perl Makefile.pl
$ make
$ sudo make install

Speicheranalyse von OS X mit Volafox

2011-06-08T09:00:00Z

Kyeong-Sik Lee und das Korean Digital Forensic Research Center haben Volafox, eine quelloffene Software zur Analyse von Mac OS X Arbeitsspeicherabbildern, veröffentlicht. Volafox basiert auf der Arbeit von Matthieu Suiche (Artikel und Präsentation) und dem Volatility Framework für die forensische Untersuchung von Arbeitsspeicherabbildern.

]]> Volafox ist vollständig in Python geschrieben und erfordert den Python-Interpreter in Version 2.5 (oder einer späteren Version der Reihe 2.x) . Für die Installation laden Sie einfach das Archiv und entpacken Sie es, zum Beispiel mit unzip. Die Bedienung des Programms ist sehr einfach:

$ python volafox.py
Memory analyzer for OS X 0.5 - n0fate
Contact: rapfer@gmail.com
usage: python volafox.py -i MEMORY_IMAGE -s KERNEL_IMAGE -o INFORMATION
 
-= CAUTION =-
this program need to physical memory image, kernel image(mach_kernel)
and it support to Intel x86 Architecture only :(
 
INFORMATION:
os_version	 Dawin kernel detail version
machine_info	 Kernel version, cpu, memory information
mount_info	 Mount information
kern_kext_info	 Kernel KEXT(Kernel Extensions) information
kext_info	 KEXT(Kernel Extensions) information
proc_info	 Process list
syscall_info	 Kernel systemcall information

Das Speicherabbild muss in einem unstrukturierten Format (wie z.B. von dd erzeugt) erstellt worden sein. Aufgrund dieser Beschränkung kann Volafox leider die vom Mac Memory Reader erzeugten Abbilder nicht ohne vorherige Konvertierung verarbeiten. Ein Mach-o Address Space wäre eine hilfreiche Erweiterung.

Es sollte eigentlich möglich sein, den Kernel im Speicherabbild zu finden, jedoch wurde auch dies (noch) nicht implementiert. Man benötigt deshalb derzeit noch eine Kopie des ausgeführten Kernels (üblicherweise /mach_kernel).

Für den schnellen und unproblematischen Einstieg empfehle ich, auf die vom Programmautor bereitgestellten Beispiele zurückzugreifen: ein Speicherabbild und der dazugehörige Mach Kernel. Nach diesen Vorbereitungen können Sie als ersten Test die Version des Betriebssystems herausfinden:

$ python volafox.py -i MemoryImage.mem -s mach_kernel -o os_version
Memory Image: MemoryImage.mem
Kernel Image: mach_kernel
Information: os_version
Detail dawin kernel version: 10A432

Dieses Kommando zeigt die ProductBuildVersion, die man so auch in der Datei /System/Library/CoreServices/SystemVersion.plist findet.

Weiter geht es mit einigen Details über den untersuchten Computer.

$ python volafox.py -i MemoryImage.mem -s mach_kernel -o machine_info
Memory Image: MemoryImage.mem
Kernel Image: mach_kernel
Information: machine_info
 
-= Mac OS X Basic Information =-
Major Version: 10
Minor Version: 0
Number of Physical CPUs: 2
Size of memory in bytes: 536870912 bytes
Size of physical memory: 536870912 bytes
Number of physical CPUs now available: 2
Max number of physical CPUs now possible: 2
Number of logical CPUs now available: 2
Max number of logical CPUs now possible: 2

Volafox kann auch die eingehängten Dateisysteme auflisten:

$ python volafox.py -i MemoryImage.mem -s mach_kernel -o mount_info
Memory Image: MemoryImage.mem
Kernel Image: mach_kernel
Information: mount_info
 
-= Mount List =-
list entry	fstypename	mount on name	mount from name
0304a290	hfs	/	/dev/disk0s2
03049948	devfs	/dev	devfs
03049000	autofs	/net	map -hosts
0403d520	autofs	/home	map auto_home
00000000	vmhgfs	/Volumes/VMware Shared Folders	.host:/

OS X verwaltet die aktiven Prozesse in einer doppelt verketteten Liste. Der Anfang dieser Liste lässt sich über das Kernel-Symbol kernproc finden (siehe auch den bereits erwähnten Artikel von Mattieu Suiche).

$ python volafox.py -i MemoryImage.mem -s mach_kernel -o proc_info
Memory Image: MemoryImage.mem
Kernel Image: mach_kernel
Information: proc_info
 
-= process list =-
list_entry_next	pid	ppid	process name	username
03290d20	0	0	kernel_task		
03290a80	1	0	launchdask	n0fate	
032902a0	2	1	launchctlk	root	
032907e0	10	1	kextddask	root	
03290540	11	1	DirectoryService	root	
03290000	12	1	notifydask	root	
0359bd20	13	1	diskarbitrationd	root	
0359ba80	14	1	configdask	root	
0359b7e0	15	1	syslogdask	root	
0359b540	16	1	distnotedk	root	
0359b000	17	1	mDNSResponder	_mdnsresponder	
0359b2a0	19	1	securitydk	_mdnsresponder	
03a5a7e0	24	1	ntpdhdask	_mdnsresponder	
03bc7d20	26	1	usbmuxdask	_usbmuxd	
03bc7a80	30	1	mdschdask	_mdnsresponder	
03bc77e0	31	1	loginwindow	n0fate	
03bc72a0	32	1	KernelEventAgent	_mdnsresponder	
03bc7000	34	1	hiddhdask	_mdnsresponder	
03bdaa80	35	1	fseventsdk	_mdnsresponder	
03befd20	37	1	dynamic_pager	_mdnsresponder	
03bef7e0	42	1	autofsdask	_mdnsresponder	
03a5a2a0	53	1	taskgatedk	_usbmuxd	
03bdad20	54	1	coreservicesd	root	
03a5a540	55	1	WindowServer	root	
03bda540	57	1	vmware-tools-dae	_mdnsresponder	
03a5a000	74	1	airportdsk	_atsserver	
03befa80	78	1	coreaudiod	_coreaudiod	
03bda2a0	79	1	launchdask	n0fate	
03bef000	83	79	Dockhdask	n0fate	
03bc7540	84	79	SystemUIServer	n0fate	
04166d20	85	79	Finderask	n0fate	
03bef2a0	92	79	fontddask	n0fate	
041667e0	95	79	pboardask	n0fate	
04166000	96	79	quicklookd	n0fate	
044ddd20	99	79	UserEventAgent	n0fate	
044dd000	100	79	ServerScanner	n0fate	
044fed20	105	79	AirPort Base Sta	n0fate	
044dd7e0	106	79	vmware-tools-use	n0fate	
044dd540	108	79	CCacheServer	n0fate	
03bda000	110	79	TISwitcher	n0fate	
0085e758	120	1	backupdask	n0fate

Einzelheiten zu einem Prozess erfährt man, indem man ihn über seine PID auswählt:

$ python volafox.py -i MemoryImage.mem -s mach_kernel -o proc_info -x 120
Memory Image: MemoryImage.mem
Kernel Image: mach_kernel
Information: proc_info
Dump PID: 120
 
-= process: 120=-
list_entry_next	pid	ppid	process name		username
0085e758	120	1	backupdask	n0fate
task_ptr: 3bd81f4
vm_map_t: 41b2520
prev: 46145d8
next: 461402c
start: 100000000
end: 7fffffe00000
neutries: 3a
entries_pageable: 1
pmap_t: 3bf59f8
page directory pointer: 3bf5828
phys.address of dirbase: 4705c2400000000
object to pde: 1
ref count: 1
nx_enabled: 2
task_map: 0
pm_cr3: 0
pm_pdpt: 25c00000259
pm_pml4: 127df00000000000

Volafox kann ausserdem Kernel-Erweiterungen und Systemaufrufe auflisten. Es weist dabei auf Systemaufrufe hin, in die sich andere Software eingeklinkt hat.

10.05.2011: IMF 2011

2010-10-27T09:00:00Z

Vom 10. bis 12.5.2011 findet die sechste International Conference on IT Security Incident Management & IT-Forensics statt. Während der Termin der Konferenz vom Herbst in das Frühjahr wechselte, bleibt der Veranstaltungsort beim Fraunhofer Institut IAO in Stuttgart bestehen. Der Call for Papers ist offen; Stichtag für Einreichungen ist der 3. Januar 2011. Weitere Informationen gibt es auf der Website der Konferenz.

01.12.2010: Seminar Multimedia-Forensik

2010-10-26T10:00:00Z

Die Carl-Cranz Gesellschaft e.V. veranstaltet am 1. und 2.12.2010 in Oberpfaffenhofen einen Workshop zur Multimedia-Forensik. Referenten sind Prof. Dr. Rainer Böhme (WWU Münster), Thomas Gloe und Matthias Kirchner (beide TU Dresden). Die Teilnahmegebühr beträgt 999,00 EUR. Ein ausführliches Programm sowie weitere Informationen zu Anreise und Hotels gibt es beim Veranstalter.

FTK Imager 3.0

2010-10-08T09:00:00Z

Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.]]> Simson, L. Garfinkel und Basis Technology Corp. entwickelte Advanced Forensics Format (AFF) hinzugekommen. Neu hinzugekommen ist die Unterstützung für das Veritas File System (VXFS), Microsofts exFAT und das zunehmend beliebter werdende Ext4. Die größte Neuerung ist jedoch, dass der Imager unter Microsoft Windows jetzt auch Abbilder in das Betriebssystem einbinden kann. Hierbei gibt es mehrere Optionen: Vollständige Abbilder physischer Medien lassen sich als virtuelles physisches Gerät einbinden, und so mit anderen systemnahen Werkzeugen, zum Beispiel einem Disk Editor, betrachten. Enthaltene FAT- und NTFS-Partitonen werden auf Wunsch gleich mit einem eigenen Laufwerksbuchstaben verfügbar gemacht. Abbilder einzelner Partitionen lassen sich als logisches Laufwerk mounten.

FAT- und NTFS-Partitionen lassen sich auch beschreibbar in Windows einbinden. Von dieser Möglichkeit sollte man jedoch nur nach reiflicher Überlegung Gebrauch machen, um die Integrität einer forensischen Kopie nicht zu gefährden. Neben den in den Release Notes erwähnten Abbildformaten konnte ich übrigens auch eine virtuelle Disk von VMware problemlos betrachten und auch mounten.

CarvFS auf dem Mac

2010-08-30T09:00:00Z

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

]]> Für die Installation von CarvFS unter OS X benötigen Sie MacPorts und meine Portfiles..

Kopieren Sie zunächst das Archiv und entpacken Sie es in Ihrem HOME Verzeichnis. Führen Sie dann portindex aus, um die Meta-Daten in Ihre MacPorts-Installation zu integrieren. Installieren Sie nun die folgenden drei Pakete:

sudo port install libcarvpath carvfs carvfs-modewf

Möglicherweise wird MacPorts noch weitere Pakete wie zum Beispiel sqlite3 oder libewf installieren, um Abhängigkeiten zu erfüllen. Fügen Sie schließlich den Bibliothekspfad Ihrer MacPorts-Installation (üblicherweise ist das /opt/local/lib) zu der Umgebungsvariable DYLD_FALLBACK_LIBRARY_PATH hinzu:

export DYLD_FALLBACK_LIBRARY_PATH=/opt/local/lib

Jetzt können Sie Ihre erste EWF-Datei mit CarvFS laden:

> mkdir ~/mnt
> carvfs ~/mnt ewf auto myimage.E??
/Users/myname/mnt/2a99939f3a463faab0233bc6303194c8
> ls -l ~/mnt/2a99939f3a463faab0233bc6303194c8/
total 156301496
d--x--x--x 3 root wheel 0 1 Jan 1970 CarvFS/
-r--r--r-- 1 root wheel 80026361856 1 Jan 1970 CarvFS.crv
-rw-rw-rw- 1 root wheel 1134 1 Jan 1970 README

Dieses kleine Projekt war mein erster Versuch, ein PortFile für MacPorts zu erstellen. Auch die Anpassungen an den CMake-Dateien haben mir einige Mühe bereitet. Obwohl mittlerweile auf meinem Mac alles reibungslos funktioniert, sind die Patches sicherlich noch nicht gut genug, um sie dem MacPorts Projekt zur Verfügung zu stellen. Ich freue mich deshalb über alle qualifizierten Fehlermeldungen und Verbesserungsvorschläge.

Evtx Parser Version 1.0.5

2010-05-07T09:00:00Z

Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.

]]> Die Änderungen im Einzelnen:

Die diversen CRC32-Prüfsummen in den Modulen Evtx.pm und Chunk.pm werden nun mit Digest::CRC berechnet, das erheblich schneller als das bisher verwendete Digest::Crc32 ist. Besonders deutlich wird der Geschwindigkeitsgewinn, wenn man eine sehr große Protokolldatei mit evtxinfo.pl untersucht. Dank an Kristinn Gudjonsson für den Verbesserungsvorschlag.

Mark Woan hat mir eine Beispieldatei zur Verfügung gestellt, die Daten des Typs 0x12 enthält. Es ist nun klar, dass es sich hierbei um die SYSTEMTIME Struktur handelt. Der Parser zeigt sie im ISO 8601-Format an und unterdrückt dabei den Wochentag.

Ausserdem erkennt der Parser jetzt auch Arrays mit Elementen HexInt32 und HexInt64. Dank an Christopher Ahearn für eine Beispieldatei.

Folien vom SANS Forensics Summit

2010-04-19T06:30:00Z

Es liegt 'was in der Luft... und zwar Vulkanasche. Wegen der daraus resultierenden Einschränkungen für den Luftverkehr konnte ein großer Teil der Teilnehmer und Referenten nicht zum SANS Forensics Summit nach London anreisen, so dass die Veranstaltung abgesagt wurde.

In meinem Vortrag wollte ich Fragen zum Dateiformat des Windows Ereignisprotokolls beantworten, die in letzter Zeit an mich herangetragen wurden. Wenn auch die mündlichen Erklärungen fehlen, so möchte ich wenigstens die Folien meines Vortrags veröffentlichen.

Evtx Parser Version 1.0.4

2010-03-25T09:00:00Z

Version 1.0.4 des Eventlog-Parsers für Microsoft Vista und Windows 2008 steht jetzt zum Download bereit. Diese Version behebt wieder einige Fehler und überprüft nun auch die Integrität der Ereignis-Daten.

]]> Diese Version des Parsers behebt ein Problem, das sich durch die Meldung eines Fehlers in Zeile 37 (oder 38, je nach Version) des Moduls Node0x0c.pm bemerkbar macht. Die Ursache ist sehr interessant: Blöcke können nämlich hinter ihrem letzten Ereigniseintrag noch weitere Daten enthalten. Entweder handelt es sich dabei dann um die Reste älterer und schon in Teilen überschriebener Ereignismeldungen, oder aber um den Beginn eines Eintrags, der dann aber schließlich doch zu groß für noch freien Speicherplatz im Block wurde. Gewöhnlich handelt es sich aber nur um "Datenmüll", den der Parser einfach übergeht.

In seltenen Fällen kann jedoch direkt hinter dem letzten Ereigniseintrag ein vollständiger alter Eintrag liegen. Der Parser versucht dann, die XML-Struktur zu rekonstruieren. Wenn jedoch im Zuge dessen das Modul Node0x0c.pm auf die XML Vorlage zuzugreifen versucht, so kann es diese an der erwarteten Position nicht finden. Die Vorlage befand sich nämlich an einem niedrigeren Offset und wurde längst mit neuen Meldungen überschrieben. Das führt dann schließlich zu der Fehlermeldung. Ab der vorliegenden Version erkennt der Parser diese besondere Konstellation und vermeidet den Fehler.

Für die erstmalige Meldung dieses Fehlers danke ich Kristinn Gudjonsson. Bei der genauen Diagnose hat mir eine Testdatei geholfen, die Michael Felber zur Verfügung stellte. Auch dafür ein herzliches Dankeschön!

Kürzlich habe ich im Block-Header noch eine weitere CRC32 Prüfsumme gefunden. Sie wird über den für Ereignismeldungen genutzten Datenbereich zwischen den Offsets 0x200 und OfsRecNext berechnet. Das Beispielprogramm evtxinfo.pl prüft nun für jeden Block mit Hilfe dieses Wertes die Integrität der gespeicherten Meldungen:

./evtxinfo.pl manipulated-SID.evtx Information from file header: Format version : 3.1 Flags : 0x00000000 File is: clean Log is full: no Current chunk : 2 of 2 Next Record# : 161 Check sum : pass

Information from chunks: Chunk file (first/last) log (first/last) Header Data ----- --------------------- --------------------- ------ ------ 1 1 113 1 113 pass pass 2 114 160 114 160 pass FAILED

Für dieses Beispiel hatte ich mit einem Hex Editor die Security ID in einem Protokolleintrag manipuliert. Entsprechend ist der Test des betroffenen zweiten Blocks gescheitert ("FAILED"). Dieser Schutzmechanismus ist jedoch nur gegen unabsichtliche Änderungen wirksam. Für einen Angreifer wäre es ein leichtes, nach der Manipulation eines Protokolleintrags auch die entsprechenden Prüfsummen neu zu berechnen und dadurch den Schutz zu unterlaufen.

Null ist nicht immer 0

2010-03-11T09:00:00Z

Die Trennung von Struktur und Inhalt ist zusammen mit dem Substitutions-Mechanismus eines der grundlegenden Konzepte des Ereignisprotokolls. In die Beschreibung der XML-Struktur sind Platzhalter eingebettet, die mit Werten aus dem SubstitutionArray, einer Tabelle am Ende des jeweiligen Protokolleintrags, gefüllt werden. Wann immer ein Eintrag in dieser Tabelle dem "Wert" NullType enthält, wird in der XML-Struktur der zugehörige Platzhalter mitsamt des ihn umgebenden XML-Elements unterdrückt. Die mit NullTypes gefüllten Einträge der Tabelle enthalten sonst keine weiteren Daten. Jedenfalls nahm ich das an, bis ich mich kürzlich überraschen lassen musste.

]]> Die folgende Abbildung zeigt einen Ausschnitt aus einem typischen SubstitutionArray. Die Daten wurden zur besseren Lesbarkeit mit dem Template für den 010 Editor interpretiert.

In diesem Beispiel enthält der obere Eintrag 12 Bytes an Daten, die entsprechend dem Inhalt des Feldes "Type" als Security Identifier (SID) interpretiert werden sollen. Der nachfolgende Eintrag, Nr. 13, soll hingegen als NullType interpretiert werden. Dieser Eintrag enthält auch keine weiteren Daten.

Genau das habe ich in unzähligen Protokolleinträgen gesehen. Eines Tages aber schickte mir Roberto De Vivo eine Protokolldatei, die meinen Parser abstürzen ließ. Mehrere SubstitutionArrays in seiner Datei sahen in etwa so aus, wie es die folgende Abbildung zeigt:

Die Länge ist eindeutig von 0 verschieden und der Tabelleneintrag enthält Daten. Ich konnte in der Datei weitere NullType-Objekte finden; manche von ihnen enthalten bis zu16 Bytes an Daten.

Zunächst vermutete ich, dass ich ein grundlegend falsches Verständnis des NullType-Objektes entwickelt hatte. Also wandelte ich mit Microsofts eigener Ereignisprotokollanzeige die betreffenden Datensätzte in XML um. In diesem Klartext konnte ich die fraglichen Daten jedoch nicht finden.

Weitere Untersuchungen sind notwendig, um die Ursache für diese Daten zu finden, und ob sie in einer forensischen Analyse von Wert sind.

Workshop zur RAM-Forensik

2010-03-02T09:00:00Z

Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.

]]> Nach einer Einführung in die technischen Grundlagen des RAM und der Intel x86-Architektur wird es an den zwei Tagen wird es reichlich Gelegenheit geben, Speicherabbilder selbst zu analysieren. Als Hilfsmittel dazu dienen vor allem der Microsoft Debugger und das bekannte Volatility, das jeder Teilnehmer als speziell angepasste Version in einer virtuellen Maschine erhält.

Weitere Informationen gibt es in der Kursbeschreibung des Veranstalters Security Research.

Fernstudiengang Digitale Forensik

2010-03-01T09:00:00Z

Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.

]]> Immer wieder werde ich gefragt, wie man eigentlich IT-Forensiker werden kann. Die Antwort hängt natürlich von der Biographie und Persönlichkeit des Fragestellers ab. Eine Möglichkeit ist ein (Aufbau-) Studium. Entsprechende Angebote gibt es zum Beispiel am University College in Dublin und zahlreichen Universitäten in den USA.

Vielen Interessenten sind dann letztlich die Hürden dieser Angebote zu hoch: Vereinbarkeit mit der familiären und beruflichen Situation, Kosten, aktive Fremdsprachenkenntnisse... Das neue Angebot an der FH Albstadt-Sigmaringen mit seiner deutlich niedrigeren Einstiegsschwelle ist hier sicherlich eine interessante Alternative.

Der Master versteht sich als Aufbaustudium, ein erster berufsbefähigender Abschluss an einer wissenschaftlichen Hochschule, Fachhochschule, Berufsakademie oder ein vergleichbarer Abschluss an einer ausländischen Bildungseinrichtung ist also erforderlich. Bewerber auf einen der 30 Studienplätze müssen darüber hinaus mindestens ein Jahr Praxiserfahrung in einem einschlägigen Beruf nachweisen, zum Beispiel als Administrator oder in der IT-Sicherheit.

Wer über keinen Hochschulabschluss verfügt, soll trotzdem einzelne Module aus dem Studiengang belegen können. Ein Abschluss mit dem Master ist dann aber natürlich nicht möglich.

Das Studium findet überwiegend online statt. Präsenzveranstaltungen sollen vorwiegend an Wochenenden und an den kooperierenden Hochschulen, der FH Albstadt-Sigmaringen und den Universitäten Mannheim und Tübingen abgehalten werden. Das Angebot ist damit auch für Interessenten aus Österreich und der Schweiz attraktiv.

Die Unterrichtssprache ist Deutsch. Man wird aber sicherlich nicht umhin kommen, Fachtexte in englischer Sprache zu lesen. Wer seinen Bekanntheitsgrad steigern möchte, wird wahrscheinlich auch seine Master-Thesis in Englisch schreiben.

Das Studium besteht aus 17 Modulen, wobei je Semester drei Module angeboten werden sollen. Die Regelstudienzeit liegt also bei 6 Semestern. Das Studium kostet ca. 15.000 EUR. Vorkenntnisse können angerechnet werden und reduzieren Studiendauer und -Kosten.

Für weitere Auskünfte steht die Studienberatung unter digitale-forensik [at] hs-albsig [punkt] de oder Telefon +49 (0) 7571-732 94 40 zur Verfügung. Weitere Informationen sollen in Kürze auch unter www.digitaleforensik.com veröffentlicht werden.

Eine Aufnahme des Studiums ist jeweils zum Wintersemester möglich. Bewerbungen sind bis zum 15. Juli an die FH Albstadt-Sigmaringen zu richten.