Archiv für August, 2007

Windows Eventlogeinträge erläutert

06. August 2007 Computer Forensik, Logfiles 984 Views Kein Kommentar

Andreas Schuster weist in seinem Blog darauf hin, dass das Digital Forensics Institute eine Liste der forensisch relevanten Eventlogeinträge

Nachtrag zum Eventlogartikel

09. Januar 2007 Artikel, Logfiles, Tools 1.238 Views Kein Kommentar

Andreas Schuster hat zum Artikel in der iX 1/2007 über Windows Ereignisprotokolle einige Ergänzungen veröffentlicht. Er weist korrekterweise darauf hin, dass einige der dort vorgestellten Tools (namentlich EnCase und fccuevtreader) geteilte Eventlog-Einträge nicht korrekt anzeigen.

Windows-Eventlog-Forensik

15. Dezember 2006 Artikel, Logfiles, News 2.529 Views 1 Kommentar

Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.
In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise [...]

neues Eventlog-Format bei Vista

10. Oktober 2006 Computer Forensik, Logfiles 1.503 Views 2 Kommentare

Andreas Schuster berichtet gerade auf seinem Blog, dass bei Vista ein verändertes Dateiformat verwendet wird. Er hat bei dieser Gelegenheit die unterschiedlichen Eventlog-Format der Windows-Versionen verglichen. War ja auch mal irgendwie nötig

Computer