PTfinder greift auf einige interne Strukturen und Konstanten des NT Kernels zurück, um Spuren von Prozessen und Threads finden zu können. Meine Beispiel-Implementierung arbeitet deshalb nur unter Windows 2000. In diesem Beitrag führe ich die Parameter auf, die Sie benötigen, um PTfinder an andere Versionen bis hin zu Vista anzupassen.
Die Umrechnung von virtuellen in physische Adressen ist eine ausgesprochen langweilige und dabei auch noch fehleranfällige Angelegenheit. Um das Leben etwas einfacher zu machen, habe ich ein Template für Sweetscapes 010 Editor geschrieben.
Analysiert man den Arbeitsspeicher, so muss man früher oder später virtuelle in physische Adressen umrechnen. Beim ersten Mal kann das durchaus Schwierigkeiten bereiten. Dieser Artikel erklärt das Vorgehen anhand eines Beispiels.
Die Suche nach variierenden Strukturen wie Prozessen und Threads ist keine einfache Aufgabe. Die Kriterien müssen sorgfältig gewählt werden. Auf der einen Seite soll der Kriteriensatz zu möglichst wenigen Fehlern erster Art führen, auf der anderen Seite dürfen aber auch keine gültigen Datenstrukturen fälschlicherweise übergangen werden. In diesem Beitrag beschreibe ich die Kriterien, die ich in PTfinder v0.2.00 implementiert habe.
Aus Anlass meines Vortrags auf dem 13. DFN-Workshop "Sicherheit in vernetzten Systemen" veröffentliche ich eine Proof-of-Concept Implementierung meines Suchalgorithmus in Perl. Das Programm kann ab sofort heruntergeladen werden.
In einem früheren Beitrag habe ich bereits die Zeitstempel in Thread-Objekten erwähnt. Am Beispiel eines Trojanischen Pferdes zeige ich hier eine praktische Anwendung.
Für die Suche nach Prozessen und Threads in Speicherabbildern greife ich immer wieder auf die Struktur _DISPATCHER_HEADER zurück. Grund genug, sie einmal etwas ausführlicher zu beschreiben.
Tobias Klein hat auf der IT-DEFENSE 2006 mit seinem Memory Parser ein neues Werkzeug für die Live-Analyse vorgestellt. Das Programm extrahiert DLLs aus dem Speicherabbild eines Prozesses.
Dieser Artikel listet die Struktur _ETHREAD des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieser Artikel listet die Struktur _EPROCESS des Microsoft Windows Server 2003. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.2.3790.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2010 by
Andreas Schuster
Alle Rechte vorbehalten.