Folien vom 15. DFN-Workshop
Die Folien meines Vortrags über Grundlagen und neue Techniken des File Carvings sind jetzt online verfügbar. Eine Aufzeichnung des Vortrags kann gegen Gebühr im Archiv des Linux-Magazins abgerufen werden.
13.02.2008: DFN-Workshop "Sicherheit in vernetzten Systemen"
Das DFN-CERT veranstaltet am 13. und 14. Februar 2008 nun zum 15. Mal den Workshop "Sicherheit in vernetzten Systemen". Alexander Geschonneck wird auf dieser Veranstaltung über "Windows Vista Forensics" sprechen. Ich bin mit einem Vortrag über File Carving dabei.
CarvFS im Einsatz
"Chopstick" hat in seinem Blog Chirashi Security zwei Artikel zu CarvFS veröffentlicht.
Artikel über In-Place Carving
Golden G. Richard III, Vassil Roussev und Lodovico Marziale beschreiben einen Carver der auf lokalen Speichermedien sowie über ein Netz arbeitet. Ihren Aufsatz In-Place File Carving stellten die Autoren auf der 3. jährlichen Konferenz der IFIP-Arbeitsgruppe 11.9 vor.
Entropie markiert Dateigrenzen
Eines der Probleme bei der Rekonstruktion gelöschter Dateien durch das Carving besteht darin, die Grenzen der ursprünglichen Dateien zu identifizieren. Das gilt besonders für den leider recht häufigen Fall, dass die Dateien fragmentiert sind. In ihrem Beitrag zur DFRWS 2006 Challenge berechnen Klayton Monroe und Jay Smith von KoreLogic Security sowie Andy Bair, seinerzeit noch am MITRE, die blockweise Entropie, um Dateigrenzen zu bestimmen und Datenblöcke zu identifizieren, die einer Datei wahrscheinlich unzutreffend zugeordnet wurden.
LibCarvPath und CarvFS
Die beiden im Rahmen der Open Computer Forensics Architecture entwickelten Programme LibCarvPath und CarvFS implementieren Funktionen des In-Place Carvings.
Scalpel Version 1.60
Golden Richard hat die Version 1.60 des Carvers Scalpel veröffentlicht. Diese Version unterstützt erstmals den neuen Ansatz des In-Place Carvings.
Carving an Ort und Stelle
Carving nennt man eine Standardtechnik zur Wiederherstellung gelöschter Dateien. Üblicherweise wird dabei sehr viel Plattenplatz belegt. Eine verbesserte Technik, in-place, in-line oder auch zero space carving soll dies jetzt ändern - und dabei den Prozess auch noch merklich beschleunigen.
Neue Rubrik "Carving"
Vor dem Hintergrund der diesjährigen Challenge des Digital Forensic Research Workshops erwarte ich einige Neuigkeiten auf dem Gebiet des Carvings. Und da schon einige Beiträge zu Carvern vorhanden sind, habe ich eine neue Rubrik eröffnet.
Foregone - ein weiterer Foremost-Klon
Im Moment ist es wohl en vogue, das bekannte Foremost neu zu implementieren. LURHQ hat heute Foregone vorgestellt, einen in Perl programmierten Foremost-Klon. Nach dem Test bleibt nur eine Frage: Wer braucht das?
Suche
English
International edition
Rubriken
- Bibliothek (18)
- Blog (3)
- Labor (59)
- FTK 2 (5)
- Randnotizen (36)
- Termine (24)
- Themen
- Carving (13)
- Multimedia (8)
- Netzwerk-Forensik (3)
- Software-Forensik
- Visualisierung (4)
- Windows (7)
- NT Eventlog (15)
- Speicheranalyse (97)
- Vista Eventlog (18)
Archive
- Mai 2009
- April 2009
- März 2009
- Februar 2009
- November 2008
- Oktober 2008
- September 2008
- August 2008
- Juli 2008
- Juni 2008
- Mai 2008
- April 2008
- März 2008
- Februar 2008
- Januar 2008
- Dezember 2007
- November 2007
- Oktober 2007
- September 2007
- August 2007
- Juli 2007
- Juni 2007
- Mai 2007
- April 2007
- März 2007
- Februar 2007
- Januar 2007
- Dezember 2006
- November 2006
- Oktober 2006
- September 2006
- August 2006
- Juli 2006
- Juni 2006
- Mai 2006
- April 2006
- März 2006
- Februar 2006
- Januar 2006
- Dezember 2005
- November 2005
- Oktober 2005
- September 2005
Neueste Einträge
Abonnieren
Impressum
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.