Version 1.2 von mdd, einem Programm zur Erstellung von Arbeitsspeicherabbildern, wurde veröffentlicht. Laut Changelog ist das Programm jetzt statisch mit der msvcr80.dll gelinkt. Von dieser Version an muss man DLL also nicht mehr selber bereitstellen. Die Programmdatei steht bei Sourceforge zum Download bereit.
Rubrik "Speicheranalyse"
Volatile Systems hat die Version 1.1.2 von Volatility, einem Programm zur Untersuchung von Speicherabbildern, veröffentlicht. Hauptsächlich behebt diese Version einige Fehler. Das Programm kann Speicherabbilder von Microsoft Windows XP SP2 und SP3 analysieren.
Der Aufsatz Aquiring Volatile Operating System Data Tools and Techniques von Iain Sutherland, Jon Evans, Theodore Tryfonas und Andrew Blyth beurteilt die Möglichkeiten, aber auch die Auswirkungen zahlreicher Programme, die häufig in der Live Response und zur Sicherung flüchtiger Daten verwendet werden. Der Artikel erschien im April 2008 im Journal ACM SIGOPS Operating Systems Review. Leider ist der Artikel nicht kostenfrei erhältlich.
Auswirkungen der Erhebung flüchtiger Daten weiterlesen
In den letzten Tagen und Wochen wurden drei neue Programme veröffentlicht, die unter Microsoft Windows den Inhalt des Hauptspeichers in eine Datei sichern können: WinEn von Guidance Software, mdd von ManTech und win32dd von Matthieu Suiche. Alle drei Programme verwenden einen Gerätetreiber, um auch unter Windows XP, dem Server 2003 und Vista auf den physischen Speicher zugreifen zu können.
Microsoft hat die Version 6.9.3.13 der kostenlosen Debugging Tools zum Download freigegeben. Es gibt unterschiedliche Version für 32bit und 64bit Umgebungen.
Microsoft Debugger Version 6.9.3.113 weiterlesen
Wenn man RAM sprichwörtlich einfrieren möchte (die Princeton-Methode) oder einen Computer schnell aus- und wieder einschaltet (Die Guillotine), dann benötigt man für die anschließende Sicherung des Arbeitsspeichers ein Programm, das selbst so wenig Speicher wie möglich belegt. Ein derartiges Werkzeug ist msramdmp von Robert Wesley McGrew.
Ein schlanker Speicherkopierer weiterlesen
Dieser kurze Beitrag enthält lediglich einen aktualisierten Codeschnipsel für die Datei magic(5), mit deren Hilfe das Unix-Dienstprogramm file(1) DMP-Dateien von 32bit- und 64bit-Systemen erkennen und ihre wichtigsten Daten anzeigen kann.
64bit Magic weiterlesen
Die Crash Dumps der 32bit- und der 64bit-Versionen von Microsoft Windows unterscheiden sich deutlich. Da 64bit-Maschinen immer häufiger anzutreffen sind, gebe ich in diesem Beitrag einige Hinweise zur Struktur der zugehörigen Crash Dumps.
64bit Crash Dumps weiterlesen
Matthieu Suiche und Nicolas Ruff haben die erste öffentliche Version von Sandman veröffentlicht.
Sandman Version 1.0.080226 weiterlesen
Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.
Akquisition (6): Die Guillotine weiterlesen
Abonnieren
