Rubrik "Speicheranalyse"

_ETHREAD Version 5.1.2600.2180

Dieser Artikel listet die Struktur _ETHREAD von Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.1.2600.2180

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP mit Service Pack 2. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.2180 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_ETHREAD Version 5.1.2600.0

Dieser Artikel listet die Struktur _ETHREAD von Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

_EPROCESS Version 5.1.2600.0

Dieser Artikel listet die Struktur _EPROCESS von Microsoft Windows XP. Die Daten dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers. Sie wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.1.2600.0 gewonnen. Die Symboldatei stammt von Microsofts Symbol Server.

KnTList

| 1 Kommentar

Das zweite auf dem DFRWS 2005 vorgestellte Programm zur Speicheranalyse stammt von George M. Garner und Robert-Jan Mora. KnTList wertet wie MemParser Listen des Kernels aus, allerdings in weitaus größerem Umfang. Der Abgleich der Listen gegeneinander soll Manipulationen aufdecken.

_EJOB Version 5.0.2195.7045

Jobs fassen eine Anzahl Prozesse zusammen. Dem Job-Objekt sind dabei kaum mehr Informationen als eine Liste aller zugeordneten Prozesse und einige Accounting-Informationen zu entnehmen. Insbesondere enthält es keine Informationen zu Start- und Endzeitpunkt. Für eine forensische Analyse des Arbeitsspeichers halte ich Jobs deswegen nicht für bedeutsam; die in einem Job zusammengefassten Prozesse und ihre Threads enthalten mehr und interessantere Informationen.

MemParser

Der diesjährige Digital Forensics Research Workshop in New Orleans förderte mit seiner Memory Challenge die Entwicklung von Programmen zur Analyse von Speicherabbildern. Eines der beiden ausgezeichneten Programme ist MemParser von Chris Betz.

Windows Memory Forensic Toolkit

Mariusz Burdach bietet auf seiner Website ein kleines Toolkit an, das ein Speicherabbild nach Prozessen und Modulen durchsucht. Ein kurzer Artikel beschreibt den Hintergrund des Toolskits und hilft, die zu seinem Einsatz benötigten Adressen einiger Kernel-Variablen zu bestimmen.

Zeitmarken in Prozess- und Thread-Objekten

Der Windows-Kernel legt für jeden Prozess und jeden Thread ein gesondertes Objekt in seinem Speicher an. Diese Objekte lassen sich aus einem Speicherabbild extrahieren, wobei sogar bereits beendete Prozesse und Threads nachgewiesen werden können. Die Daten enthalten auch Zeitstempel.

_ETHREAD Version 5.0.2195.7045

Dieser Artikel listet die Struktur _ETHREAD von Windows 2000. Die Daten wurden mit dem Windows-Kerneldebugger und ntoskrnl.exe Version 5.0.2195.7045 gewonnen. Sie dienen als Grundlage zur forensischen Analyse des Arbeitsspeichers.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12