Rubrik "Speicheranalyse"

X-Ways Capture

Die X-Ways AG aus Köln hat ein neues Programm veröffentlicht: X-Ways Capture soll volatile Daten unter Linux und Microsoft Windows 2000 und XP sichern.

Typinformationen in PDB Dateien lesen

Ich habe hier im Blog bereits die Definitionen der Struktur _EPROCESS für einige Kernel-Versionen veröffentlicht. Die Informationen lassen sich, wie beschrieben, mit dem Kernel-Debugger WinDbg aus einem Speicherabbild gewinnen. Aber zuvor muss natürlich erst einmal die gewünschte Windows-Version installiert werden. Wie es erheblich einfacher und schneller geht, erklärt dieser Artikel.

Akquisition (3): LiveKd

Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.

_EPROCESS Version 5.0.2195.7045

Dieser Artikel listet die Struktur _EPROCESS von Windows 2000, Service Pack 4. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.

Akquisition (2): Crashdump

Für forensische Untersuchungen des Arbeitsspeicherinhalts bietet sich unter Microsoft Windows auch ein Crashdump an. Allerdings sind hierfür einige Vorbereitungen notwendig.

Akquisition (1): dd

Die Sicherung volatiler Daten ist eine besondere Herausforderung in der Computer-Forensik. Unter Microsoft Windows ist die Kopie mit dd die einfachste Methode, den Arbeitsspeicher zu sichern. Es gibt nur einen kleinen Schönheitsfehler: Ab Windows Server 2003 SP1 funktioniert das nicht mehr.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12