Evtx Parser, die Perl Bibliothek und Skriptsammlung zum Auslesen von Windows Ereignisprotokollen ist ab sofort in Version 1.1.1 verfügbar. Diese Version beseitigt ein Speicherleck. Ich danke Heinz Mueller für die Fehlermeldung und Hilfe beim Testen.
Ich freue mich, nach längerer Entwicklungszeit eine neue Version meines Evtx Parsers veröffentlichen zu können. Version 1.1.0 erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen.
Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind jetzt als Download (ZIP) verfügbar.
Evtx Parser Version 1.1.0 weiterlesen
Praktiker schätzen die mh Service GmbH in Karlsruhe seit Jahren als Lieferant von Hard- und Software für die IT-Forensik. Am 11. und 12. Oktober 2011 veranstaltet das Unternehmen zum dritten Mal seine Hausmesse, den Forensic Technologies Preview Day, mit Fachvorträgen und Workshops.
Forensic Technologies Preview Day 2011 weiterlesen
Meine Bibliothek und Programmsammlung zum Auslesen von Windows Ereignisprotokollen ist in Version 1.0.8 erschienen. Während es nur kleinere Verbesserungen am Programmcode gibt, hat sich die Organisation des Archivs grundlegend geändert. Ich entschuldige mich schon vorab für etwaige Unannehmlichkeiten, die diese Änderung verursacht. Die aktuelle Version ist hier verfügbar.
Evtx Parser Version 1.0.8 weiterlesen
Kyeong-Sik Lee und das Korean Digital Forensic Research Center haben Volafox, eine quelloffene Software zur Analyse von Mac OS X Arbeitsspeicherabbildern, veröffentlicht. Volafox basiert auf der Arbeit von Matthieu Suiche (Artikel und Präsentation) und dem Volatility Framework für die forensische Untersuchung von Arbeitsspeicherabbildern.
Speicheranalyse von OS X mit Volafox weiterlesen
Vom 10. bis 12.5.2011 findet die sechste International Conference on IT Security Incident Management & IT-Forensics statt. Während der Termin der Konferenz vom Herbst in das Frühjahr wechselte, bleibt der Veranstaltungsort beim Fraunhofer Institut IAO in Stuttgart bestehen. Der Call for Papers ist offen; Stichtag für Einreichungen ist der 3. Januar 2011. Weitere Informationen gibt es auf der Website der Konferenz.
Die Carl-Cranz Gesellschaft e.V. veranstaltet am 1. und 2.12.2010 in Oberpfaffenhofen einen Workshop zur Multimedia-Forensik. Referenten sind Prof. Dr. Rainer Böhme (WWU Münster), Thomas Gloe und Matthias Kirchner (beide TU Dresden). Die Teilnahmegebühr beträgt 999,00 EUR. Ein ausführliches Programm sowie weitere Informationen zu Anreise und Hotels gibt es beim Veranstalter.
Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.
FTK Imager 3.0 weiterlesen
CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.
CarvFS auf dem Mac weiterlesen
Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.
Evtx Parser Version 1.0.5 weiterlesen