Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten.

Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist,

Jesse Kornblum (Autor von ssdeep und md5deep) hat eine neues hilfreiches Forensik-Werkzeug veröffentlicht. Mit Miss Identify kann ein Ermittler in einem gemounteten Image schnell und einfach ausführbare Dateien anhand der PE-Header identifzieren.

Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines [...]

Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann , noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen

Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert.

Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer - der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf der Heft-CD in [...]

Das Windows Forensic Toolchest (WFT) zeichnete sich bereits in der Version 2 durch seinen komfortablen HTML Report aus. In der seit kurzem von Monty McDougal veröffentlichten Version 3 sind viele neue Funktionen integriert worden, die die Durchführung einer Live Response von Windows Systemen erleichtern. Die zwei herausragendsten Neuerungen sind ein interaktiver Modus und die Möglichkeit, [...]