Rekonstruktion einer Programmdatei (2)
Wenn Sie den ersten Teil dieser Anleitung durchgearbeitet haben, dann fragen Sie sich vielleicht, ob es nicht auch einen einfacheren Weg gibt, die Programmdatei wiederherzustellen. Den gibt es, natürlich.
Neue Programme
Am Wochenende hat Harlan Carvey zwei neue Programme zur Analyse von Windows 2000 Speicherabbildern veröffentlicht.
Persistenz der Speicherinhalte
In ihrem Buch Forensic Discover sprechen Dan Farmer und Wietse Venema über die Persistenz von Inhalten des Hauptspeichers. Ich hatte derartiges noch nicht beobachten können - bis ich mir die Speicherabbilder der DFRWS Memory Analysis Challenge genauer angesehen habe.
Rekonstruktion einer Programmdatei (1)
Aus einem Speicherabbild lassen sich auch die Programmdateien der laufenden Prozesse rekonstruieren. Damit lassen sich selbst auf der Festplatte nicht auffindbare Programme schnell mit einem Virenscanner untersuchen. Dieser Artikel beschreibt Schritt für Schritt die Rekonstruktion.
Rekonstruktion des Prozess-Speichers
Für manche Untersuchungen mag es hilfreich sein, nur den Speicher eines einzelnen Prozesses vorliegen zu haben. Bei einem mit "dd" erzeugten Abbild des physischen Speichers ist die Rekonstruktion mit wenig Aufwand möglich.
Doppelte Geschwindigkeit
Die Version 0.2.02 des PTfinder erlaubt mit einer neuen Option die Veränderung der Schrittweite bei der Suche nach Prozessen und Threads. Für Windows 2000 lässt sich damit die Suchgeschwindigkeit verdoppeln.
DMP-Templates für Hex-Editoren
Aufgrund einiger Nachfragen veröffentliche als Ergänzung zur Beschreibung des DMP Formates entsprechenden Templates für WinHex und den 010 Editor.
Patente
Durch Zufall bin ich auf drei Patente gestoßen, die sich im Kern zwar auf Debugger beziehen, aber auch Auswirkungen auf die Entwicklung von Programmen zur Speicheranalyse haben könnten.
Das DMP Dateiformat
Microsofts Debugger und der NT-Kernel erzeugen Speicherabbilder in einem proprietären Format. In diesem Beitrag beschreibe ich den Aufbau der DMP Dateien und zeige, wie man eine gegebene physische Adresse im Speicherabbild lokalisiert.
Suche
English
International edition
Rubriken
- Bibliothek (18)
- Blog (3)
- Labor (60)
- FTK 2 (5)
- Randnotizen (36)
- Termine (24)
- Themen
- Carving (14)
- Multimedia (8)
- Netzwerk-Forensik (3)
- Software-Forensik
- Visualisierung (4)
- Windows (7)
- NT Eventlog (15)
- Speicheranalyse (97)
- Vista Eventlog (22)
Archive
- Mai 2010
- April 2010
- März 2010
- Februar 2010
- Dezember 2009
- Oktober 2009
- Juni 2009
- Mai 2009
- April 2009
- März 2009
- Februar 2009
- November 2008
- Oktober 2008
- September 2008
- August 2008
- Juli 2008
- Juni 2008
- Mai 2008
- April 2008
- März 2008
- Februar 2008
- Januar 2008
- Dezember 2007
- November 2007
- Oktober 2007
- September 2007
- August 2007
- Juli 2007
- Juni 2007
- Mai 2007
- April 2007
- März 2007
- Februar 2007
- Januar 2007
- Dezember 2006
- November 2006
- Oktober 2006
- September 2006
- August 2006
- Juli 2006
- Juni 2006
- Mai 2006
- April 2006
- März 2006
- Februar 2006
- Januar 2006
- Dezember 2005
- November 2005
- Oktober 2005
- September 2005
Neueste Einträge
Abonnieren
Impressum
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.