Mit dem kostenlosen Werkzeug PEiD kann man eine erste Analyse einer unbekannten Binärdatei durchführen. Das Tool liefert sehr viele Informationen über ausführbare Dateien. Es werden über 450 unterschiedliche “Packer” und Compiler erkannt. Über eine Plugin-Schnittstelle können

Jesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse [...]

Microsoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger “invasives” [...]

Ich werde häufig gefragt, welche Werkzeuge sich denn nun ein Ermittlungsteam zulegen sollte, Ich kann dann immer nur antworten, dass es ganz klar auf die zu untersuchende Fragstellung ankommt. Natürlich sollte man auch die Vor- und Nachteile der eigenen Werkzeuge kennen und mit Ihnen geübt haben.
Das SANS Internet Storm Center hat eine Umfrage nach sinnvollen [...]

Harlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation [...]

Die von vielen Ermittlungsteams (auch wir verwenden diese) häufig eingesetzte Incident Response & Forensics Live CD Helix ist aktualisiert worden. Version 1.8 ist seit letzter Woche unter http://www.e-fense.com/helix/ kostenlos beziehbar. Helix besteht aus einem Windows-Teil und einem Live Linux-Teil, der auf Knoppix basiert.
Neben der Aktualisierung der Tools, wurde PTFinder von

Andreas Schuster berichtet gerade auf seinem Blog, dass bei Vista ein verändertes Dateiformat verwendet wird. Er hat bei dieser Gelegenheit die unterschiedlichen Eventlog-Format der Windows-Versionen verglichen. War ja auch mal irgendwie nötig

Shadow 2 von VOOM Technologies im Test
Eine vielschichtiges Problemfeld (nicht nur) der Computer Forensik ist die Vermittlung teilweise komplexer Ermittlungsergebnisse einem mehr oder weniger sachverständigem Publikum. Es sind machmal Magierfähigkeiten notwendig, einem Laien technische Details über Cookies, Slack-Space , Registry, DLL, MAC-Timestamps oder die Funktionsweise von Software zu erklären. Die amerikanische Firma VOOM Technologies hat [...]