Rubrik "Speicheranalyse"

Registry Hives im Arbeitsspeicher

Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.

Akquisition (5): FireWire

Eine einfache und zuverlässige Methode zur Erstellung von Speicherabbildern ist der Zugriff über FireWire. In diesem Beitrag beschreibe ich die Datensicherung mit Hilfe der Helix Boot CD.

Akquisition (4): hiberfil.sys

| 1 TrackBack

Microsoft Windows bietet schon seit langem einen Ruhezustand. Wann immer er aktiviert wird, sichert das Betriebssystem den belegten Arbeitsspeicher in die Datei hiberfil.sys. Nicolas Ruff und Matthieu Suiche haben eine Programmbibliothek (Sandman genannt) entwickelt, die das Format dieser Datei zu lesen und zu schreiben vermag. Ihre Ergebnisse haben beide auf der PacSec 07 in Tokio vorgestellt.

Suche nach Page Directories (3)

In einem Beitrag in seinem Blog beschreibt Jacky Wu, wie sich Page Directories in einem Speicherabbild von Microsoft Windows XP SP2 im PAE-Modus finden lassen.

Page Directory Pointer Table Template für den 010 Editor

In Zukunft werde ich mich noch häufiger mit Speicherabbildern beschäftigen müssen, die im PAE-Modus von Microsoft Windows gewonnen wurden. Als Hilfsmittel hierzu veröffentliche ich ein Template für den 010 Editor, das von der Page Directory Pointer Table bis hinunter zum Page Table Entry alle Strukturen aufschlüsselt.

Persistenz von Daten im Userland

In einem Artikel im Journal "Digital Investigation" untersuchen Jason Solomon, Ewa Huebner, Derek Bem und Magdalena Szeżynska die Persistenz von Daten im Userland unter SuSE Linux 10.0 und Microsoft Windows XP SP2. Für beide Betriebssysteme stellen die Autoren fest, dass 5 Minuten nach Beendigung eines Prozesses nur noch einige wenige Speicherseiten aus dem Userland rekonstruierbar sind.

PTFinder Version 0.3.05

Ich freue mich, PTFinder in der Version 0.3.05 freigeben zu können. Diese Version beseitigt Probleme auf Big-Endian-Architekturen. Sie unterstützt Abbilder von Windows-Versionen mit aktiver Intel Physical Address Extension (PAE). Auch gibt es jetzt eine unmittelbar lauffähige binäre Version für die Microsoft Windows Plattform.

MFT-Einträge im Arbeitsspeicher

Lance Mueller hat in seinem Blog ein Skript für EnCase veröffentlicht, das in einem Arbeitsspeicherabbild nach MFT-Einträgen sucht.

Katalog der Kernel-Backdoors

Skape und Skywing haben einen sehr lesenswerten Katalog von Backdoors für den Betriebssystemkern von Microsoft Windows zusammengestellt.

PoolTools Version 1.3.0

| 1 TrackBack
Nach einem Jahr habe ich die PoolTools überarbeitet. Die einzelnen Programme der neuen Version tauschen Daten jetzt über eine SQLite-Datenbank aus. Ein (experimentelles) Programmpaket enthält die Tools als eigenständige Version mit eingebettetem Perl-Interpreter.
 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12