Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.
AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.
Das BIOS eines PC enthält auch eine einfache Routine zur Abfrage der Tastatur. Die Tasteneingaben werden in einem Ringpuffer gespeichert, der Platz für etwa 16 Zeichen bietet. Wie Jonathan Brossard in einem Aufsatz und einer Präsentation auf der DEFCON 16 gezeigt hat, wird der Puffer oftmals nicht sofort nach dem Auslesen gelöscht. Unter Umständen lassen sich deshalb in einem Speicherabbild die Passwörter für den Startvorgang oder eine Festplattenverschlüsselung finden.
Es gibt viele Möglichkeiten, um alle Objekttypen des Microsoft Windows Betriebssystemkerns aufzulisten. In diesem kurzen Beitrag stelle ich drei davon vor: den Microsoft Debugger, Sysinternals' WinObj und ein Plugin für das Speicheranalyse-Framework Volatility.
Microsoft Windows ist ein objektorientierter Kernel. Dateien, Prozesse, Threads - alles ist ein Objekt. All diese Objekte haben eine gemeinsame Datenstruktur und Schnittstelle. Dieser Beitrag zeigt, wie der Kernel Objekte erzeugt und im Arbeitsspeicher ablegt.
In letzter Zeit erhielt ich vermehrt Anfragen nach einem PTFinder für Microsoft Vista. Die notwendigen Anpassungen an den Kernel 6.0.6000.16386 erwiesen sich als nicht trivial. Eine BETA-Version ist jetzt in der aktuellen PTFinder-Collection verfügbar.
