Mit dem webbasierten pyFlag lassen sich Abbilder von Festplatten, des Arbeitsspeichers und aufgezeichnete Datenkommunikation untersuchen. Jetzt haben die Autoren diejenige Version für die Öffentlichkeit freigegeben, mit der sie den ersten Platz der Linux Memory Analysis Challenge des DFRWS 2008 erreichten. Das Programmpaket steht bei Sourceforge zum Download bereit. Einen ersten Eindruck von der Leistungsfähigkeit von pyFlag und den neuen Funktionen gibt die Lösung der DFRWS Challenge.
Rubrik "Labor"
Das US National Institute of Standards and Technology hat den FTK Imager von AccessData in der Version 2.5.3.14. Der Testbericht stellt einige Abweichungen gegenüber dem Testplan fest.
So werden Sektoren im Bereich der Host Protected Area (HPA) und des Device Configuration Overlays (DCO) nicht gesichert. Bei der logischen Sicherung eines mit NTFS formatierten Volumes werden die letzten acht Sektoren nicht erfasst. Bemängelt wurde außerdem, dass der FTK Imager bei einem defekten Abbild nicht die Position des Fehlers meldet.
Während ich versuchte, FTK 2.0 besser auf meine Bedürfnisse abzustimmen, fand ich einige Einstellungen, die für die Datensicherheit im Labor von Bedeutung sein könnten. Ich kontaktierte den Support des Herstellers AccessData und berichtete ihm meine Beobachtungen. Der Support reagierte unverzüglich und kündigte an, die Probleme in der kommenden Version zu beheben. Nachdem nun diese Version, FTK 2.0.2 veröffentlicht wurde, erläutere ich hier die Schwachstellen.
FTK 2.0 - Sicherheit weiterlesen
SSdeep verwendet die Technik des Fuzzy Hashings, um Ähnlichkeiten zwischen Dateien festzustellen. Jesse Kornblum hat nun die Version 2.0 des Programms veröffentlicht.
SSdeep Version 2.0 weiterlesen
Soeben habe ich einen weiteren Versuch mit dem neuen FTK 2.0 beendet: das Aufbereiten eines USB-Sticks mit 256 MB Kapazität führte zu einem Volltextindex von gut 3 GB und etwa 200 MB in der Oracle-Datenbank. Die Bearbeitungszeit hierfür betrug allerdings mehr als 4 Stunden. Grund genug, die Dinge einmal genauer zu betrachten.
FTK 2.0 - Geschwindigkeit weiterlesen
Während ich meinen ersten Fall mit dem neuen FTK 2.0 anlegte, stellte das Programm plötzlich die Arbeit ein. Doch zu meiner Überraschung war dann doch nicht alles verloren.
FTK 2.0 - Ein Absturz und die Folgen weiterlesen
Gerade noch rechtzeitig vor den Ostertagen erreichte mich die neue Version des Forensic Toolkits von AccessData. Natürlich musste ich es direkt ausprobieren. In diesem Beitrag beschreibe ich meine Erfahrungen bei einer ersten Testinstallation.
FTK 2.0 - Die Installation weiterlesen
Jesse Kornblum hat die erste Version seines neuen Programms dc3dd zur forensisch sicheren Kopie von Datenträgern freigegeben. Das Programm basiert auf GNU dd aus den coreutils (was dann auch die Versionsnummer erklärt). Es enthält dabei viele Funktionen des bekannten dcfldd.
dc3dd, Version 6.9.91 weiterlesen
Das NIST hat seinen Testbericht für Version 2.0 des DCCIdd veröffentlicht. Dabei wurden zwei Abweichungen gegenüber dem Testplan festgestellt.
NIST testet DCCIdd Version 2.0 weiterlesen
Das National Institute of Justice der USA hat einen kurzen Aufsatz zur Effizienzsteigerung in forensischen Laboratorien veröffentlicht.
Effizienzsteigerung im Labor weiterlesen
Abonnieren
