Rubrik "Speicheranalyse"

MDD Version 1.2

Version 1.2 von mdd, einem Programm zur Erstellung von Arbeitsspeicherabbildern, wurde veröffentlicht. Laut Changelog ist das Programm jetzt statisch mit der msvcr80.dll gelinkt. Von dieser Version an muss man DLL also nicht mehr selber bereitstellen. Die Programmdatei steht bei Sourceforge zum Download bereit.

Volatility Version 1.1.2

Volatile Systems hat die Version 1.1.2 von Volatility, einem Programm zur Untersuchung von Speicherabbildern, veröffentlicht. Hauptsächlich behebt diese Version einige Fehler. Das Programm kann Speicherabbilder von Microsoft Windows XP SP2 und SP3 analysieren.

Auswirkungen der Erhebung flüchtiger Daten

Der Aufsatz Aquiring Volatile Operating System Data Tools and Techniques von Iain Sutherland, Jon Evans, Theodore Tryfonas und Andrew Blyth beurteilt die Möglichkeiten, aber auch die Auswirkungen zahlreicher Programme, die häufig in der Live Response und zur Sicherung flüchtiger Daten verwendet werden. Der Artikel erschien im April 2008 im Journal ACM SIGOPS Operating Systems Review. Leider ist der Artikel nicht kostenfrei erhältlich.

Neue Programme zur Sicherung des physischen Speichers

In den letzten Tagen und Wochen wurden drei neue Programme veröffentlicht, die unter Microsoft Windows den Inhalt des Hauptspeichers in eine Datei sichern können: WinEn von Guidance Software, mdd von ManTech und win32dd von Matthieu Suiche. Alle drei Programme verwenden einen Gerätetreiber, um auch unter Windows XP, dem Server 2003 und Vista auf den physischen Speicher zugreifen zu können.

Microsoft Debugger Version 6.9.3.113

Microsoft hat die Version 6.9.3.13 der kostenlosen Debugging Tools zum Download freigegeben. Es gibt unterschiedliche Version für 32bit und 64bit Umgebungen.

Ein schlanker Speicherkopierer

| 1 TrackBack

Wenn man RAM sprichwörtlich einfrieren möchte (die Princeton-Methode) oder einen Computer schnell aus- und wieder einschaltet (Die Guillotine), dann benötigt man für die anschließende Sicherung des Arbeitsspeichers ein Programm, das selbst so wenig Speicher wie möglich belegt. Ein derartiges Werkzeug ist msramdmp von Robert Wesley McGrew.

64bit Magic

Dieser kurze Beitrag enthält lediglich einen aktualisierten Codeschnipsel für die Datei magic(5), mit deren Hilfe das Unix-Dienstprogramm file(1) DMP-Dateien von 32bit- und 64bit-Systemen erkennen und ihre wichtigsten Daten anzeigen kann.

64bit Crash Dumps

Die Crash Dumps der 32bit- und der 64bit-Versionen von Microsoft Windows unterscheiden sich deutlich. Da 64bit-Maschinen immer häufiger anzutreffen sind, gebe ich in diesem Beitrag einige Hinweise zur Struktur der zugehörigen Crash Dumps.

Sandman Version 1.0.080226

Matthieu Suiche und Nicolas Ruff haben die erste öffentliche Version von Sandman veröffentlicht.

Akquisition (6): Die Guillotine

Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12