Michele Larese hat für WinHex Templates erstellt, die UFS1 und UFS2 Strukturen parsen. Verarbeitet werden Superblock, Cylinder Group Descriptor und Inode. Es gibt jeweils Versionen für little-endian und big-endian Darstellung.
Alle Templates sind auf der Webseite des Herstellers verlinkt.
Access Data hat den FTK Imager in der neuen Version 2.3 freigegeben. Der Imager erstellt forensisch sichere Abbilder von Datenträgern in einer Reihe von gebräuchlichen Zielformaten.
Als Ergänzung zur Evaluation von Analysesoftware für PDA ist beim NIST in der Reihe der Special Publications auch ein Leitfaden erschienen.
In der Reihe seiner Interagency Reports hat das National Institute of Standards and Technology (NIST) einen Testbericht von Programmen zur Sicherung und Analyse von PDAs veröffentlicht.
Access Data stellt kostenlos eine Kurzübersicht der Windows Registry zur Verfügung.
Die X-Ways AG aus Köln hat ein neues Programm veröffentlicht: X-Ways Capture soll volatile Daten unter Linux und Microsoft Windows 2000 und XP sichern.
Bekannte Programme wie EnCase und das Forensic Toolkit können Dokumente untersuchen, die nach den Konventionen des OLE Structured Storage aufgebaut sind. Für den schnellen Blick in ein interessantes Dokument sind diese Programme aber dann doch eine Nummer zu groß. Darum stelle ich in diesem Artikel zwei kleine Spezialisten vor.
Brian Carrier hat die neuesten Versionen des Sleuth Kit und des Web-Frontends Autopsy veröffentlicht. Die bekannte Open-Source Software ermöglicht die Untersuchung von Dateisystemen.
Tcpxtract ist ein Carver für Datenübertragungen. Das heißt, das Programm kann aus laufendem und aufgezeichnetem Datenverkehr die übertragenen Dateien rekonstruieren. Zur Bestimmung des jeweiligen Dateianfangs und -endes nutzt es dabei charakteristische Bytefolgen einzelner Dateiformate aus. Das Prinzip ist von foremost bekannt, das auf diese Weise Dateien aus Datenträgern wiederherstellt.
Formatiert man versehentlich die Speicherkarte der Digital-Kamera, dann lässt sich das Mißgeschick in der Regel schnell beheben. Bei einer Videoüberwachung ist das nicht ganz so einfach.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.