Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.
Registry Hives im Arbeitsspeicher weiterlesen
Rubrik "Speicheranalyse"
Eine einfache und zuverlässige Methode zur Erstellung von Speicherabbildern ist der Zugriff über FireWire. In diesem Beitrag beschreibe ich die Datensicherung mit Hilfe der Helix Boot CD.
Akquisition (5): FireWire weiterlesen
Microsoft Windows bietet schon seit langem einen Ruhezustand. Wann immer er aktiviert wird, sichert das Betriebssystem den belegten Arbeitsspeicher in die Datei hiberfil.sys. Nicolas Ruff und Matthieu Suiche haben eine Programmbibliothek (Sandman genannt) entwickelt, die das Format dieser Datei zu lesen und zu schreiben vermag. Ihre Ergebnisse haben beide auf der PacSec 07 in Tokio vorgestellt.
Akquisition (4): hiberfil.sys weiterlesen
In einem Beitrag in seinem Blog beschreibt Jacky Wu, wie sich Page Directories in einem Speicherabbild von Microsoft Windows XP SP2 im PAE-Modus finden lassen.
Suche nach Page Directories (3) weiterlesen
In Zukunft werde ich mich noch häufiger mit Speicherabbildern beschäftigen müssen, die im PAE-Modus von Microsoft Windows gewonnen wurden. Als Hilfsmittel hierzu veröffentliche ich ein Template für den 010 Editor, das von der Page Directory Pointer Table bis hinunter zum Page Table Entry alle Strukturen aufschlüsselt.
In einem Artikel im Journal "Digital Investigation" untersuchen Jason Solomon, Ewa Huebner, Derek Bem und Magdalena Szeżynska die Persistenz von Daten im Userland unter SuSE Linux 10.0 und Microsoft Windows XP SP2. Für beide Betriebssysteme stellen die Autoren fest, dass 5 Minuten nach Beendigung eines Prozesses nur noch einige wenige Speicherseiten aus dem Userland rekonstruierbar sind.
Ich freue mich, PTFinder in der Version 0.3.05 freigeben zu können. Diese Version beseitigt Probleme auf Big-Endian-Architekturen. Sie unterstützt Abbilder von Windows-Versionen mit aktiver Intel Physical Address Extension (PAE). Auch gibt es jetzt eine unmittelbar lauffähige binäre Version für die Microsoft Windows Plattform.
PTFinder Version 0.3.05 weiterlesen
Lance Mueller hat in seinem Blog ein Skript für EnCase veröffentlicht, das in einem Arbeitsspeicherabbild nach MFT-Einträgen sucht.
MFT-Einträge im Arbeitsspeicher weiterlesen
Skape und Skywing haben einen sehr lesenswerten Katalog von Backdoors für den Betriebssystemkern von Microsoft Windows zusammengestellt.
Katalog der Kernel-Backdoors weiterlesen
Nach einem Jahr habe ich die PoolTools überarbeitet. Die einzelnen Programme der neuen Version tauschen Daten jetzt über eine SQLite-Datenbank aus. Ein (experimentelles) Programmpaket enthält die Tools als eigenständige Version mit eingebettetem Perl-Interpreter.
PoolTools Version 1.3.0 weiterlesen
Abonnieren
