Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.
Der DFRWS hat auch dieses Jahr im Vorfeld seiner Konferenz eine Preisaufgabe veröffentlicht. Es gilt, Abbilder des Arbeitsspeichers und der Festplatte einer Sony Playstation 3, aber auch aufgezeichnete Datenkommunikation zu untersuchen. Die Aufgabe ist sehr anspruchsvoll und soll zur Entwicklung neuer Werkzeuge anregen. Einsendeschluss für Einreichungen ist der 12. Juli. Weitere Informationen gibt es auf der Website des DFRWS.
Spirovski Bozidar hat in seinem Blog "Information Security Short Takes" eine Aufgabe gestellt. Es gilt, das (kleine!) Abbild einer Festplatte auf regelwidrige Aktivitäten eines Mitarbeiters zu untersuchen. Ergebnisse können noch bis zum 20. August 2008 eingereicht werden. Als Preis winken Ruhm und Ehre.
Wie schon in den vergangenen Jahren, so wurde auch 2008 im Vorfeld des Digital Forensics Research Workshops wieder eine Aufgabe gestellt. Diesmal gilt es, das Arbeitsspeicherabbild eines Linux-Rechners zu untersuchen. Bereits jetzt, drei Wochen vor dem Workshop, wurden im Internet die ersten Ergebnisse veröffentlicht.
Vor einiger Zeit habe ich die Implementierungen der Funktion XpressDecode im NTLDR von Windows XP mit der des Sandman Projekts verglichen. Ich fand damals etliche Unterschiede. Aber da gibt es auch noch eine dritte Implementierung in einer bekannten kommerziellen Forensik-Software. Dieses Programm wurde im März 2008 veröffentlicht, etwa einen Monat später als der Sandman. Betrachten wir dieses Programm also einmal etwas genauer.
Der einführende Beitrag wies bereits auf einige Ähnlichkeiten und Unterschiede in "unabhängigen" Implementierungen einer bestimmten Routine durch drei Hersteller hin. In diesem Artikel werde ich zwei der drei Implementierungen mit einander vergleichen. Und bei der Gelegenheit werde ich dann das Geheimnis um die Identität zumindest zweier Hersteller lüften.
Ein aktueller Vorfall hat mich veranlasst, mich ein wenig genauer mit Software-Forensik zu beschäftigen. Genauer gesagt geht es in diesem Fall um die Erkennung eines Plagiats. In diesem Beitrag schildere ich den Fall und zeige einen einfachen Indikator zur Erkennung von Ähnlichkeiten in Programmen.
Vor fast zwei Jahren hatte ich in einem Beitrag auf den Rich-Header hingewiesen, den man in den meisten unter Microsoft Windows ausführbaren Dateien findet. Jetzt hat sich Daniel Pistelli der Sache angenommen.
Durch Zufall bin ich auf das Blog 8 bits von Mark Stam gestoßen. Er schreibt über IT, Informationssicherheit und digitale Forensik. Leider schreibt er nur auf Niederländisch. Andererseits finde ich, dass sich der Inhalt auch so gut erfassen lässt. Und zur Not gibt es noch Google Translate.
Der jährlich stattfindende Digital Forensics Research Workshop verkündet im Vorfeld jeweils eine Aufgabe, um die Entwicklung von Methoden und Software für ein bestimmtes Thema zu stimulieren. Im Jahr 2008 geht es um die Analyse des Speicherabbildes eines Linux-Rechners. Die Aufgabe und einige Details wurden jetzt veröffentlicht. Einsendeschluss ist der 20. Juli 2008.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.