Rubrik "Speicheranalyse"

PTfinder an andere Windows-Versionen anpassen

PTfinder greift auf einige interne Strukturen und Konstanten des NT Kernels zurück, um Spuren von Prozessen und Threads finden zu können. Meine Beispiel-Implementierung arbeitet deshalb nur unter Windows 2000. In diesem Beitrag führe ich die Parameter auf, die Sie benötigen, um PTfinder an andere Versionen bis hin zu Vista anzupassen.

Page Directory Template für den 010 Editor

Die Umrechnung von virtuellen in physische Adressen ist eine ausgesprochen langweilige und dabei auch noch fehleranfällige Angelegenheit. Um das Leben etwas einfacher zu machen, habe ich ein Template für Sweetscapes 010 Editor geschrieben.

Umrechnung virtueller in physische Adressen

Analysiert man den Arbeitsspeicher, so muss man früher oder später virtuelle in physische Adressen umrechnen. Beim ersten Mal kann das durchaus Schwierigkeiten bereiten. Dieser Artikel erklärt das Vorgehen anhand eines Beispiels.

Suche nach Prozessen und Threads

| 3 Kommentare

Die Suche nach variierenden Strukturen wie Prozessen und Threads ist keine einfache Aufgabe. Die Kriterien müssen sorgfältig gewählt werden. Auf der einen Seite soll der Kriteriensatz zu möglichst wenigen Fehlern erster Art führen, auf der anderen Seite dürfen aber auch keine gültigen Datenstrukturen fälschlicherweise übergangen werden. In diesem Beitrag beschreibe ich die Kriterien, die ich in PTfinder v0.2.00 implementiert habe.

PTfinder Version 0.2.00

| 1 Kommentar

Aus Anlass meines Vortrags auf dem 13. DFN-Workshop "Sicherheit in vernetzten Systemen" veröffentliche ich eine Proof-of-Concept Implementierung meines Suchalgorithmus in Perl. Das Programm kann ab sofort heruntergeladen werden.

Datierung der Ausführung von Programmteilen

In einem früheren Beitrag habe ich bereits die Zeitstempel in Thread-Objekten erwähnt. Am Beispiel eines Trojanischen Pferdes zeige ich hier eine praktische Anwendung.

_DISPATCHER_HEADER

Für die Suche nach Prozessen und Threads in Speicherabbildern greife ich immer wieder auf die Struktur _DISPATCHER_HEADER zurück. Grund genug, sie einmal etwas ausführlicher zu beschreiben.

Speicheranalyse mit pd und MMP

Tobias Klein hat auf der IT-DEFENSE 2006 mit seinem Memory Parser ein neues Werkzeug für die Live-Analyse vorgestellt. Das Programm extrahiert DLLs aus dem Speicherabbild eines Prozesses.

_ETHREAD Version 5.2.3790.0

Dieser Artikel listet die Struktur _ETHREAD des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.2.3790.0

Dieser Artikel listet die Struktur _EPROCESS des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12