for(ensik){blog;}

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Von Andreas Schuster am 30.08.2010, 10:00 Uhr | Permalink

Der 010 Editor, ein Hex-Editor ist für mich zu einem unverzichtbaren Werkzeug für der Untersuchung von Dateien geworden. Jetzt haben die Autoren die Version 3.1 veröffentlicht, die eine Vielzahl neuer Funktionen enthält.

Von Andreas Schuster am 22.02.2010, 10:00 Uhr | Permalink

Vor vier Jahren, auf dem DFRWS 2005, wurden die ersten Werkzeuge zur Windows-Speicheranalyse präsentiert. Langsam finden die seitdem entwickelten Methoden Eingang in kommerzielle Werkzeuge. Auch das kürzlich von AccessData öffentlich vorgestellte Forensic Toolkit 3 bietet jetzt einige Funktionen zur Untersuchung von Windows-Speicherabbildern.

Von Andreas Schuster am 06.10.2009, 10:00 Uhr | Permalink

AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.

Von Andreas Schuster am 02.06.2009, 10:00 Uhr | Permalink

Tableau hat mit dem T9 nun auch einen Writeblocker für Geräte mit FireWire-Interface im Angebot. Damit sollen sich portable Festplatten und Apple Macs im Target Disk Mode sichern lassen. Von der Bauform und Bedienung her scheint der T9 weitgehend dem bekannten T8 zu entsprechen, über den sich USB-Geräte schreibgeschützt ansprechen lassen.

Von Andreas Schuster am 27.04.2009, 10:00 Uhr | Permalink

AccessData hat die Version 2.5.5 des kostenlosen FTK Imagers veröffentlicht. Diese Version behebt ein Kompatibilitätsproblem beim Import von Abbildern im Expert Wittness Format (.E01) in EnCase. Die Fehlermeldung

Error in "Header": String cannot be longer than 12 characters

Von Andreas Schuster am 05.03.2009, 10:00 Uhr | Permalink

Das NIST hat vier Programme zur Datensicherung von Mobiltelefonen getestet. Als einziges Produkt hat Paraben Device Seizure 2.1 alle Tests bestanden.

Von Andreas Schuster am 24.10.2008, 10:00 Uhr | Permalink

Didier Stevens beklagt in einem Blogeintrag die scheinbare Genauigkeit von Zeitangaben in Programmausgaben und Untersuchungsberichten. So werden Zeitpunkte auf die Sekunde genau angegeben, obwohl die Genaugkeit der Datenquelle geringer ist. Stevens nennt als Beispiel eine Geldkarte. Ein weiteres bekanntes Beispiel sind die Zeitstempel des FAT-Dateisystems mit einer Auflösung von 2 Sekunden. Stevens schlägt deshalb vor, für Zeitangaben die wissenschaftliche Notation für fehlerbehaftete Größen zu verwenden, z.B. 11:37:30 ± 675s.

Von Andreas Schuster am 07.10.2008, 10:00 Uhr | Permalink

Mit dem webbasierten pyFlag lassen sich Abbilder von Festplatten, des Arbeitsspeichers und aufgezeichnete Datenkommunikation untersuchen. Jetzt haben die Autoren diejenige Version für die Öffentlichkeit freigegeben, mit der sie den ersten Platz der Linux Memory Analysis Challenge des DFRWS 2008 erreichten. Das Programmpaket steht bei Sourceforge zum Download bereit. Einen ersten Eindruck von der Leistungsfähigkeit von pyFlag und den neuen Funktionen gibt die Lösung der DFRWS Challenge.

Von Andreas Schuster am 08.09.2008, 10:00 Uhr | Permalink

Das US NAtional Institute of Standards and Technology hat den FTK Imager von AccessData in der Version 2.5.3.14. Der Testbericht stellt einige Abweichungen gegenüber dem Testplan fest.

So werden Sektoren im Bereich der Host Protected Area (HPA) und des Device Configuration Overlays (DCO) nicht gesichert. Bei der logischen Sicherung eines mit NTFS formatierten Volumes werden die letzten acht Sektoren nicht erfasst. Bemängelt wurde außerdem, dass der FTK Imager bei einem defekten Abbild nicht die Position des Fehlers meldet.

Von Andreas Schuster am 21.07.2008, 10:00 Uhr | Permalink