Rubrik "Labor"

pyFlag Version 0.87

Mit dem webbasierten pyFlag lassen sich Abbilder von Festplatten, des Arbeitsspeichers und aufgezeichnete Datenkommunikation untersuchen. Jetzt haben die Autoren diejenige Version für die Öffentlichkeit freigegeben, mit der sie den ersten Platz der Linux Memory Analysis Challenge des DFRWS 2008 erreichten. Das Programmpaket steht bei Sourceforge zum Download bereit. Einen ersten Eindruck von der Leistungsfähigkeit von pyFlag und den neuen Funktionen gibt die Lösung der DFRWS Challenge.

NIST testet den FTK Imager 2.5.3.14

Das US National Institute of Standards and Technology hat den FTK Imager von AccessData in der Version 2.5.3.14. Der Testbericht stellt einige Abweichungen gegenüber dem Testplan fest.

So werden Sektoren im Bereich der Host Protected Area (HPA) und des Device Configuration Overlays (DCO) nicht gesichert. Bei der logischen Sicherung eines mit NTFS formatierten Volumes werden die letzten acht Sektoren nicht erfasst. Bemängelt wurde außerdem, dass der FTK Imager bei einem defekten Abbild nicht die Position des Fehlers meldet.

FTK 2.0 - Sicherheit

Während ich versuchte, FTK 2.0 besser auf meine Bedürfnisse abzustimmen, fand ich einige Einstellungen, die für die Datensicherheit im Labor von Bedeutung sein könnten. Ich kontaktierte den Support des Herstellers AccessData und berichtete ihm meine Beobachtungen. Der Support reagierte unverzüglich und kündigte an, die Probleme in der kommenden Version zu beheben. Nachdem nun diese Version, FTK 2.0.2 veröffentlicht wurde, erläutere ich hier die Schwachstellen.

SSdeep Version 2.0

SSdeep verwendet die Technik des Fuzzy Hashings, um Ähnlichkeiten zwischen Dateien festzustellen. Jesse Kornblum hat nun die Version 2.0 des Programms veröffentlicht.

FTK 2.0 - Geschwindigkeit

| 1 Kommentar

Soeben habe ich einen weiteren Versuch mit dem neuen FTK 2.0 beendet: das Aufbereiten eines USB-Sticks mit 256 MB Kapazität führte zu einem Volltextindex von gut 3 GB und etwa 200 MB in der Oracle-Datenbank. Die Bearbeitungszeit hierfür betrug allerdings mehr als 4 Stunden. Grund genug, die Dinge einmal genauer zu betrachten.

FTK 2.0 - Ein Absturz und die Folgen

Während ich meinen ersten Fall mit dem neuen FTK 2.0 anlegte, stellte das Programm plötzlich die Arbeit ein. Doch zu meiner Überraschung war dann doch nicht alles verloren.

FTK 2.0 - Die Installation

| 2 Kommentare

Gerade noch rechtzeitig vor den Ostertagen erreichte mich die neue Version des Forensic Toolkits von AccessData. Natürlich musste ich es direkt ausprobieren. In diesem Beitrag beschreibe ich meine Erfahrungen bei einer ersten Testinstallation.

dc3dd, Version 6.9.91

Jesse Kornblum hat die erste Version seines neuen Programms dc3dd zur forensisch sicheren Kopie von Datenträgern freigegeben. Das Programm basiert auf GNU dd aus den coreutils (was dann auch die Versionsnummer erklärt). Es enthält dabei viele Funktionen des bekannten dcfldd.

NIST testet DCCIdd Version 2.0

Das NIST hat seinen Testbericht für Version 2.0 des DCCIdd veröffentlicht. Dabei wurden zwei Abweichungen gegenüber dem Testplan festgestellt.

Effizienzsteigerung im Labor

Das National Institute of Justice der USA hat einen kurzen Aufsatz zur Effizienzsteigerung in forensischen Laboratorien veröffentlicht.

 1 2 3 4 5 6 7 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12