GetData hat ihr Werkzeug Mount Image Pro v2 um eine Komponente der Firma MD5 Ltd. ergänzt, die das Booten von forensischen Kopien in einer VMware-Umgebung ermöglicht. Hierbei ist nicht nur das bereits vom kostenlosen LiveView unterstützte

In Ausgabe 04/2007 der iX wurden zwei Forensik-Artikel veröffentlicht. In einem Artikel beschreibe ich ausführlich, wie man aus einem mit dd erstellten Datenträgerimage mit Live View eine lauffähige VMware Virtual Machine erstellt, um das verdächtige System dann zur Laufzeit analysieren zu können.
Die neue Version von EnCase (6.2)

In c’t 05/2007 erschien - nach langen Wehen - ein Artikel von mir zum Thema “Live Response”. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet.
Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem [...]

Jesse Kornblum und Brian Carrier haben wieder ein paar Testimages für die RAM-Analyse veröffentlicht. Damit ist es jedermann möglich, Werkzeuge und Methoden zur forensischen Analyse von Hauptspeicherinhalten zu erproben. Es gibt folgende unterschiedliche Server- und Notebook-Images:

Mit dem kostenlosen Werkzeug PEiD kann man eine erste Analyse einer unbekannten Binärdatei durchführen. Das Tool liefert sehr viele Informationen über ausführbare Dateien. Es werden über 450 unterschiedliche “Packer” und Compiler erkannt. Über eine Plugin-Schnittstelle können

Jesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse [...]

Microsoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger “invasives” [...]

Shadow 2 von VOOM Technologies im Test
Eine vielschichtiges Problemfeld (nicht nur) der Computer Forensik ist die Vermittlung teilweise komplexer Ermittlungsergebnisse einem mehr oder weniger sachverständigem Publikum. Es sind machmal Magierfähigkeiten notwendig, einem Laien technische Details über Cookies, Slack-Space , Registry, DLL, MAC-Timestamps oder die Funktionsweise von Software zu erklären. Die amerikanische Firma VOOM Technologies hat [...]