Rubrik "Speicheranalyse"

KnTTools und KnTList

GMG Systems, Inc. bietet seine Programme KnTTools zur Sicherung des Arbeitsspeichers unter Windows und KnTTlist zur Auswertung jetzt einem eingeschränkten Kreis von Interessenten an.

Volatools

| 1 TrackBack

AAron Walters und Nick L. Petroni Jr. haben auf der BlackHat DC 2007 ihr neues Programm zur Auswertung von Arbeitsspeicherabbildern vorgestellt. Volatools basic, so der Name der frei verfügbaren Version, basiert auf dem bislang nicht erhältlichen Framework FATkit der beiden Autoren.

Speicheranalyse in der c't

| 1 Kommentar

Alexander Geschonneck beschreibt in der c't, Ausgabe 5/07 die Spurensicherung am lebenden Objekt. Der Artikel behandelt die gängigen Methoden zur Erstellung und Auswertung von Speicherabbildern.

_ETHREAD Version 6.0.6000.16386

Dieser Artikel listet die Struktur _ETHREAD von Windows Vista RTM (Release To Manufacturing). Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 6.0.6000.16386

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Vista RTM (Release To Manufacturing). Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 6.0.6000.16386 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

MemParser Version 1.0

MemParser von Chris Betz war einer der beiden Sieger der DFRWS 2005 Memory Analysis Challenge. Der Quellcode des Programms ist mittlerweile auch auf Sourceforge verfügbar.

Crash ohne CtrlScroll

Windows zu einem Absturz zu zwingen, ist ein probates Mittel, um ein Speicherabbild für eine forensische Untersuchung zu erzeugen. Unglücklicherweise erfordert dies jedoch eine rechtzeitige Konfiguration des Computers vor einem Sicherheitsvorfall. In einem Beitrag fragt sich C4RTMAN, wie der Tastaturtreiber den Absturz hervorruft und ob es hierfür nicht auch eine andere Möglichkeit gäbe. Hier ist eine Antwort.

FATKit

Die kommende Ausgabe der Digital Investigation (Vol. 3, Ausgabe 4) wird einen sehr interessanten Aufsatz von Nick L.Petroni, AAron Walters, Timothy Fraser und William A. Arbaugh über ihr Speicheranalyse-Werkzeug FATKit enthalten. Eine Vorabversion des Beitrags ist auf der Website des FATKit-Projektes kostenlos erhältlich.

PoolFinder Version 1.0.0

Heute beginnt die IMF 2006 - und ich freue mich, aus diesem Anlass mein neues Tool PoolFinder veröffentlichen zu können. PoolFinder implementiert die in meinem Beitrag Pool Allocations as an Information Source in Windows Memory Forensics beschriebene Methode.

Ein Frontend für PTFinder

Nicht jedermann arbeitet gerne an der Kommandozeile. Richard McQuown hat deshalb für den PTFinder ein Frontend erstellt.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12