Rubrik "Speicheranalyse"

PTFinder auf grml Live-CD

| 1 Kommentar
Wie ich gerade erfahren habe, wird PTFinder demnächst als Debian-Paket auf der grml Live-CD erhältlich sein. Auch Jesse Kornblums Programm ssdeep und Simson Garfinkels Bibliothek und Tools für das Advanced Forensics File Format werden enthalten sein.

Microsoft Kernel Memory Space Analyzer

Microsoft hat die Version 8.1 des Kernel Memory Space Analyzers zum Download freigeben. Mit seiner Hilfe lassen sich Speicherabbilder im DMP-Format untersuchen.

Problem bei der Abbilderstellung via FireWire

Die Erstellung eines Arbeitsspeicherabbildes via FireWire hielt ich bislang für eine der zuverlässigsten Methoden. Nun aber erklärt Arne Vidstrom in einem Beitrag, wie es hierbei zum Einfrieren des Memory Controller Hubs des Intel Chipsatzes kommen kann.

PTFinder Version 0.3.00 verfügbar

Die Version 0.3.00 des Programms PTFinder ist verfügbar. Als Neuerung bietet sie die Möglichkeit, die Ausgabe in einem XML-Format zu erzeugen.

PTfinder-Sammlung verfügbar

Ich habe eine Sammlungvon PTfindern für Windows 2000, Windows XP (sollte auch mit XP SP1 funktionieren), Windows XP SP2 und Windows Server 2003 veröffentlicht. Mein Dank gilt meinem Leser "Frank" für seine Unterstützung. Bitte melden Sie Fehler an bugs-ptfinder [at] forensikblog.de.

Nachweis einer Library Injection mit FATkit

In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.

Netzwerkaktivität in Pools finden

Ich habe einige Fragen zu meinem Beitrag für die IMF 2006 erhalten. Deshalb habe ich mich entschieden, vorab ein Anwendungsbeispiel für die Speicheranalyse auf der Grundlage von Pools zu veröffentlichen. In diesem Beispiel werden Sockets im Zustand "Listening" und TCP-Verbindungen in einem Abbild des Arbeitsspeichers identifiziert.

POOL_HEADER

Dieser Beitrag führt eine kleine, aber dennoch wichtige Struktur des Microsoft Windows NT Kernel ein, den POOL_HEADER. Mit Sicherheit werde ich in der nächsten Zeit noch häufiger auf diese Struktur zurückgreifen. Auch mein Vortrag auf der IMF 2006 ist ganz dieser Struktur gewidmet.

Beitrag zur IMF 2006

Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.

Rekonstruktion einer Programmdatei (3)

Wie die beiden früheren Teile gezeigt haben, ist die Rekonstruktion einer Programmdatei aus einem vollständigen Speicherabbild durchaus möglich. Allerdings gibt es keine Gewähr, dass das rekonstruierte Programm auch ausführbar ist. Den Grund erklärt dieser Artikel.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12