for(ensik){blog;}

Dieser Artikel listet die Struktur _ETHREAD von Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 22.01.2006, 08:30 Uhr | Permalink

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 22.01.2006, 07:00 Uhr | Permalink

Dieser Artikel listet die Struktur _ETHREAD von Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 21.01.2006, 16:10 Uhr | Permalink

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

Von Andreas Schuster am 21.01.2006, 15:10 Uhr | Permalink

Jobs fassen eine Anzahl Prozesse zusammen. Dem Job-Objekt sind dabei kaum mehr Informationen als eine Liste aller zugeordneten Prozesse und einige Accounting-Informationen zu entnehmen. Insbesondere enthält es keine Informationen zu Start- und Endzeitpunkt. Für eine forensische Analyse des Arbeitsspeichers halte ich Jobs deswegen nicht für bedeutsam; die in einem Job zusammengefassten Prozesse und ihre Threads enthalten mehr und interessantere Informationen.

Von Andreas Schuster am 20.12.2005, 14:30 Uhr | Permalink

Das zweite auf dem DFRWS 2005 vorgestellte Programm zur Speicheranalyse stammt von George M. Garner und Robert-Jan Mora. Kntlist wertet wie MemParser Listen des Kernels aus, allerdings in weitaus größerem Umfang. Der Abgleich der Listen gegeneinander soll Manipulationen aufdecken.

Von Andreas Schuster am 20.12.2005, 11:05 Uhr | Permalink

Der diesjährige Digital Forensics Research Workshop in New Orleans förderte mit seiner Memory Challenge die Entwicklung von Programmen zur Analyse von Speicherabbildern. Eines der beiden ausgezeichneten Programme ist MemParser von Chris Betz.

Von Andreas Schuster am 16.12.2005, 17:50 Uhr | Permalink

Mariusz Burdach bietet auf seiner Website ein kleines Toolkit an, das ein Speicherabbild nach Prozessen und Modulen durchsucht. Ein kurzer Artikel beschreibt den Hintergrund des Toolskits und hilft, die zu seinem Einsatz benötigten Adressen einiger Kernel-Variablen zu bestimmen.

Von Andreas Schuster am 15.12.2005, 12:45 Uhr | Permalink

(Read this article in English.)

Der Windows-Kernel legt für jeden Prozess und jeden Thread ein gesondertes Objekt in seinem Speicher an. Diese Objekte lassen sich aus einem Speicherabbild extrahieren, wobei sogar bereits beendete Prozesse und Threads nachgewiesen werden können. Die Daten enthalten auch Zeitstempel.

Von Andreas Schuster am 13.12.2005, 09:00 Uhr | Permalink

Dieser Artikel listet die Struktur _ETHREAD von Windows 2000. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.

Von Andreas Schuster am 12.12.2005, 14:01 Uhr | Permalink