Die X-Ways AG aus Köln hat ein neues Programm veröffentlicht: X-Ways Capture soll volatile Daten unter Linux und Microsoft Windows 2000 und XP sichern.
X-Ways Capture weiterlesen
Rubrik "Speicheranalyse"
Ich habe hier im Blog bereits die Definitionen der Struktur _EPROCESS für einige Kernel-Versionen veröffentlicht. Die Informationen lassen sich, wie beschrieben, mit dem Kernel-Debugger WinDbg aus einem Speicherabbild gewinnen. Aber zuvor muss natürlich erst einmal die gewünschte Windows-Version installiert werden. Wie es erheblich einfacher und schneller geht, erklärt dieser Artikel.
Typinformationen in PDB Dateien lesen weiterlesen
Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.
Akquisition (3): LiveKd weiterlesen
Dieser Artikel listet die Struktur _EPROCESS von Windows 2000, Service Pack 4. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.
_EPROCESS Version 5.0.2195.7045 weiterlesen
Für forensische Untersuchungen des Arbeitsspeicherinhalts bietet sich unter Microsoft Windows auch ein Crashdump an. Allerdings sind hierfür einige Vorbereitungen notwendig.
Akquisition (2): Crashdump weiterlesen
Die Sicherung volatiler Daten ist eine besondere Herausforderung in der Computer-Forensik. Unter Microsoft Windows ist die Kopie mit dd die einfachste Methode, den Arbeitsspeicher zu sichern. Es gibt nur einen kleinen Schönheitsfehler: Ab Windows Server 2003 SP1 funktioniert das nicht mehr.
Akquisition (1): dd weiterlesen
Abonnieren
