Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.
Spirovski Bozidar hat in seinem Blog "Information Security Short Takes" eine Aufgabe gestellt. Es gilt, das (kleine!) Abbild einer Festplatte auf regelwidrige Aktivitäten eines Mitarbeiters zu untersuchen. Ergebnisse können noch bis zum 20. August 2008 eingereicht werden. Als Preis winken Ruhm und Ehre.
Wie schon in den vergangenen Jahren, so wurde auch 2008 im Vorfeld des Digital Forensics Research Workshops wieder eine Aufgabe gestellt. Diesmal gilt es, das Arbeitsspeicherabbild eines Linux-Rechners zu untersuchen. Bereits jetzt, drei Wochen vor dem Workshop, wurden im Internet die ersten Ergebnisse veröffentlicht.
Vor einiger Zeit habe ich die Implementierungen der Funktion XpressDecode im NTLDR von Windows XP mit der des Sandman Projekts verglichen. Ich fand damals etliche Unterschiede. Aber da gibt es auch noch eine dritte Implementierung in einer bekannten kommerziellen Forensik-Software. Dieses Programm wurde im März 2008 veröffentlicht, etwa einen Monat später als der Sandman. Betrachten wir dieses Programm also einmal etwas genauer.
Der einführende Beitrag wies bereits auf einige Ähnlichkeiten und Unterschiede in "unabhängigen" Implementierungen einer bestimmten Routine durch drei Hersteller hin. In diesem Artikel werde ich zwei der drei Implementierungen mit einander vergleichen. Und bei der Gelegenheit werde ich dann das Geheimnis um die Identität zumindest zweier Hersteller lüften.
Ein aktueller Vorfall hat mich veranlasst, mich ein wenig genauer mit Software-Forensik zu beschäftigen. Genauer gesagt geht es in diesem Fall um die Erkennung eines Plagiats. In diesem Beitrag schildere ich den Fall und zeige einen einfachen Indikator zur Erkennung von Ähnlichkeiten in Programmen.
Vor fast zwei Jahren hatte ich in einem Beitrag auf den Rich-Header hingewiesen, den man in den meisten unter Microsoft Windows ausführbaren Dateien findet. Jetzt hat sich Daniel Pistelli der Sache angenommen.
