Archiv für die Kategorie: 'Live Analyse'

Suspend-to-Disk Forensics

05. Januar 2008 Computer Forensik, Live Analyse, Tools 1,212 Views 1 Kommentar

Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines [...]

Exe Packer und Unpacker Referenz

30. Dezember 2007 Computer Forensik, Live Analyse, Tools 2,242 Views 4 Kommentare

Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann , noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen

neue Version der PoolTools von Andreas Schuster

05. November 2007 Computer Forensik, Live Analyse, Tools 1,084 Views 3 Kommentare

Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert.

ForensiX-CD veröffentlicht [Update]

20. Juni 2007 Computer Forensik, Live Analyse, Tools 2,497 Views 3 Kommentare

Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer – der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf der Heft-CD in [...]

EnCase Images booten [Update]

02. Mai 2007 Computer Forensik, Live Analyse, Tools 1,999 Views Kein Kommentar

GetData hat ihr Werkzeug Mount Image Pro v2 um eine Komponente der Firma MD5 Ltd. ergänzt, die das Booten von forensischen Kopien in einer VMware-Umgebung ermöglicht. Hierbei ist nicht nur das bereits vom kostenlosen LiveView unterstützte

iX-Artikel: zu Live View und EnCase 6

07. März 2007 Artikel, Computer Forensik, Live Analyse, Tools 3,108 Views 1 Kommentar

In Ausgabe 04/2007 der iX wurden zwei Forensik-Artikel veröffentlicht. In einem Artikel beschreibe ich ausführlich, wie man aus einem mit dd erstellten Datenträgerimage mit Live View eine lauffähige VMware Virtual Machine erstellt, um das verdächtige System dann zur Laufzeit analysieren zu können. Die neue Version von EnCase (6.2)

c’t Artikel: “Auf frischer Tat ertappen – Spurensicherung am lebenden Objekt”

17. Februar 2007 Artikel, Computer Forensik, Live Analyse, Tools 2,832 Views 2 Kommentare

In c’t 05/2007 erschien – nach langen Wehen – ein Artikel von mir zum Thema “Live Response”. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet. Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem Durst [...]

Testimages für forensische RAM-Analyse

06. Januar 2007 Live Analyse, Methoden 1,922 Views Kein Kommentar

Jesse Kornblum und Brian Carrier haben wieder ein paar Testimages für die RAM-Analyse veröffentlicht. Damit ist es jedermann möglich, Werkzeuge und Methoden zur forensischen Analyse von Hauptspeicherinhalten zu erproben. Es gibt folgende unterschiedliche Server- und Notebook-Images: