X-Ways Capture

Die X-Ways AG aus Köln hat ein neues Programm veröffentlicht: X-Ways Capture soll volatile Daten unter Linux und Microsoft Windows 2000 und XP sichern.

X-Ways Capture erkennt dabei verschlüsselte Dateien und Dateisysteme beziehungsweise die zugehörige Software im Arbeitsspeicher. Bei einem "Überraschungsangriff" können deshalb vom Benutzer geöffnete Krypto-Container gesichert werden, ohne die Passphrase in einem mühevollen Brute-force Angriff ermitteln zu müssen. Unter Windows lassen sich EFS-verschlüsselte Dateien im Klartext sichern, solange der Benutzer angemeldet ist.

Weiterhin sichert X-Ways Capture den physischen Arbeitsspeicher und den Working Set eines jeden Prozesses. Abbilder der Datenträger lassen sich ebenfalls erstellen, und zwar im hauseigenen Format, dem von EnCase verwendeten sowie als 1:1 Abbild in der von dd gewohnten Weise.

Ich hatte die Gelegenheit, X-Ways Capture im Einsatz gegen mein Notebook beobachten zu können. Natürlich habe ich mich dabei besonders für die Speicherabbilder interessiert. Die ersten Ergebnisse sind, nun ja, interessant. Anscheinend kopiert es wie dd einfach \Device\PhysicalMemory. Im Gegensatz zu dd werden die Daten offenbar mehrfach gepuffert. Jedenfalls konnte ich für jeden Prozess neben der originalen EPROCESS-Struktur zwei Kopien finden. Diese "Verschmutzung" des Arbeitsspeichers sollte vermeidbar sein.

Nachtrag 22.03.2006: Das im letzten Absatz beschriebene Problem der mehrfach erscheinenden Prozesse soll mit der Version 1.09 behoben werden.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.