Rubrik "Speicheranalyse"

PTFinder auf grml Live-CD

Von Andreas Schuster am 07.10.2006 um 10:55 Uhr | 1 Kommentar
Wie ich gerade erfahren habe, wird PTFinder demnächst als Debian-Paket auf der grml Live-CD erhältlich sein. Auch Jesse Kornblums Programm ssdeep und Simson Garfinkels Bibliothek und Tools für das Advanced Forensics File Format werden enthalten sein.
PTFinder auf grml Live-CD weiterlesen

Microsoft Kernel Memory Space Analyzer

Von Andreas Schuster am 13.09.2006 um 6:00 Uhr

Microsoft hat die Version 8.1 des Kernel Memory Space Analyzers zum Download freigeben. Mit seiner Hilfe lassen sich Speicherabbilder im DMP-Format untersuchen.

Microsoft Kernel Memory Space Analyzer weiterlesen

Problem bei der Abbilderstellung via FireWire

Von Andreas Schuster am 06.09.2006 um 5:40 Uhr

Die Erstellung eines Arbeitsspeicherabbildes via FireWire hielt ich bislang für eine der zuverlässigsten Methoden. Nun aber erklärt Arne Vidstrom in einem Beitrag, wie es hierbei zum Einfrieren des Memory Controller Hubs des Intel Chipsatzes kommen kann.

Problem bei der Abbilderstellung via FireWire weiterlesen

PTFinder Version 0.3.00 verfügbar

Von Andreas Schuster am 04.09.2006 um 7:00 Uhr

Die Version 0.3.00 des Programms PTFinder ist verfügbar. Als Neuerung bietet sie die Möglichkeit, die Ausgabe in einem XML-Format zu erzeugen.

PTFinder Version 0.3.00 verfügbar weiterlesen

PTfinder-Sammlung verfügbar

Von Andreas Schuster am 10.08.2006 um 7:05 Uhr

Ich habe eine Sammlungvon PTfindern für Windows 2000, Windows XP (sollte auch mit XP SP1 funktionieren), Windows XP SP2 und Windows Server 2003 veröffentlicht. Mein Dank gilt meinem Leser "Frank" für seine Unterstützung. Bitte melden Sie Fehler an bugs-ptfinder [at] forensikblog.de.

PTfinder-Sammlung verfügbar weiterlesen

Nachweis einer Library Injection mit FATkit

Von Andreas Schuster am 31.07.2006 um 8:45 Uhr

In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.

Nachweis einer Library Injection mit FATkit weiterlesen

Netzwerkaktivität in Pools finden

Von Andreas Schuster am 28.07.2006 um 8:00 Uhr

Ich habe einige Fragen zu meinem Beitrag für die IMF 2006 erhalten. Deshalb habe ich mich entschieden, vorab ein Anwendungsbeispiel für die Speicheranalyse auf der Grundlage von Pools zu veröffentlichen. In diesem Beispiel werden Sockets im Zustand "Listening" und TCP-Verbindungen in einem Abbild des Arbeitsspeichers identifiziert.

Netzwerkaktivität in Pools finden weiterlesen

POOL_HEADER

Von Andreas Schuster am 25.07.2006 um 5:45 Uhr

Dieser Beitrag führt eine kleine, aber dennoch wichtige Struktur des Microsoft Windows NT Kernel ein, den POOL_HEADER. Mit Sicherheit werde ich in der nächsten Zeit noch häufiger auf diese Struktur zurückgreifen. Auch mein Vortrag auf der IMF 2006 ist ganz dieser Struktur gewidmet.

POOL_HEADER weiterlesen

Beitrag zur IMF 2006

Von Andreas Schuster am 10.07.2006 um 9:00 Uhr

Mein Beitrag für die IMF 2006 in Stuttgart wurde angenommen. In diesem Aufsatz untersuche ich Memory Pools des Windows Kernels als Informationsquelle in der Computer Forensik.

Beitrag zur IMF 2006 weiterlesen

Rekonstruktion einer Programmdatei (3)

Von Andreas Schuster am 11.06.2006 um 4:05 Uhr

Wie die beiden früheren Teile gezeigt haben, ist die Rekonstruktion einer Programmdatei aus einem vollständigen Speicherabbild durchaus möglich. Allerdings gibt es keine Gewähr, dass das rekonstruierte Programm auch ausführbar ist. Den Grund erklärt dieser Artikel.

Rekonstruktion einer Programmdatei (3) weiterlesen
 1 2 3 4 5 6 7 8 9 10 

Suchen

English

International edition

Aktuelle Einträge

Rubriken

Archiv

Tag-Wolke

Abonnieren

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12