Lance Mueller berichtet auf seinem Blog über die Möglichkeiten, die EnCase 6.11 nun für die Sicherstellung des RAM-Inhalts bietet. Das Hauptproblem der Vorgängerversionen war bisher

Es ist ja nun durch viele Blätter gerauscht, dass Microsoft ein kostenloses Forensiktool für Strafverfolgungsbehörden zur Verfügung stellen will (COFEE - Computer Online Forensic Evidence Extractor). Nein, es wird weder durch Wände schauen noch Gedanken lesen können. Langsam wird es etwas klarer. Es wird sich dabei um eine Erweiterung von bereits vorhandenen IR-Tools ala F.R.E.D., [...]

Aus Florida kommt die Software F-Response, mit der die Live Response von Windows-Systemen einfacher und besser werden soll. Es gibt schon die ersten Jubelschreie über das Tool. Der Hersteller hat mir eine Demo-Version zur Verfügung und ich werde bei Gelegenheit über den Einsatz berichten. F-Response funktioniert im Grundsatz wie folgt:

Mit der Veröffentlichung von X-Ways Forensics in der Version 14.9 wurde nun die Möglichkeit geschaffen, hibernation-Dateien (Ruhezustand) forensisch zu analysieren. Der Autor der dafür ebenfalls verwendbaren frei verfügbaren Bibliothek “Sandman” Matthieu Suiche ist nun verwundert ob der zeitlichen Koinzidenz. Er hat seine unter GPLv3 stehenden Werkzeuge Ende Februar veröffentlicht. Ich kann mir aber beim besten [...]

Da habe ich doch bei der Heise-Meldung “Microsoft kauft Anti-Rootkit-Firma” nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte.  Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte

msramdmp ist nun auch auf einem Boot ISO Image verfügbar. Zur Erinnerung: msramdmp ist ein kleines Programm, das den Arbeitsspeicherinhalt nach einem Kaltstart auf einen USB Stick o.ä. sichert.

Andreas Schuster schreibt in seinem Blog, dass Robert Wesley McGrew ein Tool veröffentlicht hat, um die hier beschriebene Methode der RAM-Sicherung praktisch zu unterstützen.

Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten.