Rubrik "Randnotizen"

Fernstudiengang Digitale Forensik

Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.

Preisaufgabe

Spirovski Bozidar hat in seinem Blog "Information Security Short Takes" eine Aufgabe gestellt. Es gilt, das (kleine!) Abbild einer Festplatte auf regelwidrige Aktivitäten eines Mitarbeiters zu untersuchen. Ergebnisse können noch bis zum 20. August 2008 eingereicht werden. Als Preis winken Ruhm und Ehre.

Analyse des Linux-Hauptspeichers

Wie schon in den vergangenen Jahren, so wurde auch 2008 im Vorfeld des Digital Forensics Research Workshops wieder eine Aufgabe gestellt. Diesmal gilt es, das Arbeitsspeicherabbild eines Linux-Rechners zu untersuchen. Bereits jetzt, drei Wochen vor dem Workshop, wurden im Internet die ersten Ergebnisse veröffentlicht.

Die Implementierung von Hersteller "X"

Vor einiger Zeit habe ich die Implementierungen der Funktion XpressDecode im NTLDR von Windows XP mit der des Sandman Projekts verglichen. Ich fand damals etliche Unterschiede. Aber da gibt es auch noch eine dritte Implementierung in einer bekannten kommerziellen Forensik-Software. Dieses Programm wurde im März 2008 veröffentlicht, etwa einen Monat später als der Sandman. Betrachten wir dieses Programm also einmal etwas genauer.

Die Implementierung von Hersteller "S"

Der einführende Beitrag wies bereits auf einige Ähnlichkeiten und Unterschiede in "unabhängigen" Implementierungen einer bestimmten Routine durch drei Hersteller hin. In diesem Artikel werde ich zwei der drei Implementierungen mit einander vergleichen. Und bei der Gelegenheit werde ich dann das Geheimnis um die Identität zumindest zweier Hersteller lüften.

Die drei Hersteller

Ein aktueller Vorfall hat mich veranlasst, mich ein wenig genauer mit Software-Forensik zu beschäftigen. Genauer gesagt geht es in diesem Fall um die Erkennung eines Plagiats. In diesem Beitrag schildere ich den Fall und zeige einen einfachen Indikator zur Erkennung von Ähnlichkeiten in Programmen.

Mehr über den Rich-Header

Vor fast zwei Jahren hatte ich in einem Beitrag auf den Rich-Header hingewiesen, den man in den meisten unter Microsoft Windows ausführbaren Dateien findet. Jetzt hat sich Daniel Pistelli der Sache angenommen.

Ein Blog aus den Niederlanden

Durch Zufall bin ich auf das Blog 8 bits von Mark Stam gestoßen. Er schreibt über IT, Informationssicherheit und digitale Forensik. Leider schreibt er nur auf Niederländisch. Andererseits finde ich, dass sich der Inhalt auch so gut erfassen lässt. Und zur Not gibt es noch Google Translate.

Ein Blog über EnScript

EnCase von Guidance Software enthält eine sehr mächtige Skriptsprache, EnScript. Sieht man von den Foren des Herstellers einmal ab, so gab es bislang nicht viel Informationen hierzu im Netz. Das Blog von Lance Mueller hilft, diese Lücke schließen. 18.10.2011: Leider führt Lance Mueller sein Blog nicht mehr weiter; die Beiträge sollen aber weiterhin online verfügbar bleiben.

Live-Response unter SUN Solaris

Evtim Batchev, Mitarbeiter von SUN Iberia, hat auf dem 22. Treffen der TF-CSIRT einen Vortrag zur Live-Response unter SUN Solaris gehalten. Seine Folien erklären einige Datenstrukturen des Solaris-Betriebssystemkerns und wie sie sich für die Untersuchung eines laufenden Systems nutzen lassen.
 1 2 3 4 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12