Rubrik "Speicheranalyse"

Workshop zur RAM-Forensik

Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.

Speicheranalyse mit FTK 3

Vor vier Jahren, auf dem DFRWS 2005, wurden die ersten Werkzeuge zur Windows-Speicheranalyse präsentiert. Langsam finden die seitdem entwickelten Methoden Eingang in kommerzielle Werkzeuge. Auch das kürzlich von AccessData öffentlich vorgestellte Forensic Toolkit 3 bietet jetzt einige Funktionen zur Untersuchung von Windows-Speicherabbildern.

FTK Imager 2.6.0

AccessData hat die Version 2.6.0 des FTK Imagers veröffentlicht. Neben Fehlerbereinigungen bietet diese Version des FTK Imagers erstmals die Möglichkeit, den Arbeitsspeicher des lokalen Computers zu sichern.

Weitere PTFinder

Csaba Barta hat PTFinders für Windows Server 2003 SP2, Windows Server 2008 SP1 und die öffentlich zugängliche Beta von Windows 7 entwickelt. Auch die anderen Bereiche seiner Website sind recht interessant.

Passwörter im Tastaturpuffer

| 1 Kommentar

Das BIOS eines PC enthält auch eine einfache Routine zur Abfrage der Tastatur. Die Tasteneingaben werden in einem Ringpuffer gespeichert, der Platz für etwa 16 Zeichen bietet. Wie Jonathan Brossard in einem Aufsatz und einer Präsentation auf der DEFCON 16 gezeigt hat, wird der Puffer oftmals nicht sofort nach dem Auslesen gelöscht. Unter Umständen lassen sich deshalb in einem Speicherabbild die Passwörter für den Startvorgang oder eine Festplattenverschlüsselung finden.

Objekttypen auflisten

Es gibt viele Möglichkeiten, um alle Objekttypen des Microsoft Windows Betriebssystemkerns aufzulisten. In diesem kurzen Beitrag stelle ich drei davon vor: den Microsoft Debugger, Sysinternals' WinObj und ein Plugin für das Speicheranalyse-Framework Volatility.

Kernelobjekte

Microsoft Windows ist ein objektorientierter Kernel. Dateien, Prozesse, Threads - alles ist ein Objekt. All diese Objekte haben eine gemeinsame Datenstruktur und Schnittstelle. Dieser Beitrag zeigt, wie der Kernel Objekte erzeugt und im Arbeitsspeicher ablegt.

PTFinder für Vista

In letzter Zeit erhielt ich vermehrt Anfragen nach einem PTFinder für Microsoft Vista. Die notwendigen Anpassungen an den Kernel 6.0.6000.16386 erwiesen sich als nicht trivial. Eine BETA-Version ist jetzt in der aktuellen PTFinder-Collection verfügbar.

win32dd Version 1.1

Matthieu Suiche hat die Version 1.1 von win32dd veröffentlicht. Win32dd erstellt ein Abbild des Arbeitsspeichers, wobei ein Großteil des Codes im Kernelmode ausgeführt wird. Eine wesentliche Änderung in dieser Version ist, dass das Steuerprogramm im Userland sich jetzt erst beendet, nachdem das Abbild vollständig erstellt wurde. Dies erleichtert die Programmierung von Skripten erheblich.

MDD Version 1.3

Benjamin Stotts und ManTech haben die Version 1.3 von mdd, einem quelloffenen Programm zur Sicherung des Hauptspeichers unter Microsoft Windows, veröffentlicht. Leider enthält das Changelog dieses Mal keine Einträge. Neu ist jedenfalls der Treiber für 64bit-Windows. Allerdings scheint dieser Treiber nicht signiert zu sein, so dass er unter der 64bit-Variante von Vista nicht geladen werden kann. Mdd steht bei Sourceforge zum Download bereit.
 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12