Rubrik "Speicheranalyse"

Lebensdauer von Daten

Es hat mich sehr überrascht, zum ersten Mal den Inhalt des Arbeitsspeichers einen Reboot überstehen zu sehen. Farmer und Venema sind dabei nicht die ersten, die dieses Phänomen beschreiben. Hier sind noch zwei interessante Artikel zu diesem Thema.

Rekonstruktion einer Programmdatei (2)

Wenn Sie den ersten Teil dieser Anleitung durchgearbeitet haben, dann fragen Sie sich vielleicht, ob es nicht auch einen einfacheren Weg gibt, die Programmdatei wiederherzustellen. Den gibt es, natürlich.

Neue Programme

Am Wochenende hat Harlan Carvey zwei neue Programme zur Analyse von Windows 2000 Speicherabbildern veröffentlicht.

Persistenz der Speicherinhalte

In ihrem Buch Forensic Discover sprechen Dan Farmer und Wietse Venema über die Persistenz von Inhalten des Hauptspeichers. Ich hatte derartiges noch nicht beobachten können - bis ich mir die Speicherabbilder der DFRWS Memory Analysis Challenge genauer angesehen habe.

Rekonstruktion einer Programmdatei (1)

Aus einem Speicherabbild lassen sich auch die Programmdateien der laufenden Prozesse rekonstruieren. Damit lassen sich selbst auf der Festplatte nicht auffindbare Programme schnell mit einem Virenscanner untersuchen. Dieser Artikel beschreibt Schritt für Schritt die Rekonstruktion.

Rekonstruktion des Prozess-Speichers

Für manche Untersuchungen mag es hilfreich sein, nur den Speicher eines einzelnen Prozesses vorliegen zu haben. Bei einem mit "dd" erzeugten Abbild des physischen Speichers ist die Rekonstruktion mit wenig Aufwand möglich.

Doppelte Geschwindigkeit

Die Version 0.2.02 des PTfinder erlaubt mit einer neuen Option die Veränderung der Schrittweite bei der Suche nach Prozessen und Threads. Für Windows 2000 lässt sich damit die Suchgeschwindigkeit verdoppeln.

DMP-Templates für Hex-Editoren

Aufgrund einiger Nachfragen veröffentliche als Ergänzung zur Beschreibung des DMP Formates entsprechenden Templates für WinHex und den 010 Editor.

Patente

Durch Zufall bin ich auf drei Patente gestoßen, die sich im Kern zwar auf Debugger beziehen, aber auch Auswirkungen auf die Entwicklung von Programmen zur Speicheranalyse haben könnten.

Das DMP Dateiformat

Microsofts Debugger und der NT-Kernel erzeugen Speicherabbilder in einem proprietären Format. In diesem Beitrag beschreibe ich den Aufbau der DMP Dateien und zeige, wie man eine gegebene physische Adresse im Speicherabbild lokalisiert.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12