Archiv für November, 2007

neue Version der PoolTools von Andreas Schuster

05. November 2007 Computer Forensik, Live Analyse, Tools 973 Views 3 Kommentare

Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert.

c’t Artikel: “Auf frischer Tat ertappen - Spurensicherung am lebenden Objekt”

17. Februar 2007 Artikel, Computer Forensik, Live Analyse, Tools 2.594 Views 2 Kommentare

In c’t 05/2007 erschien - nach langen Wehen - ein Artikel von mir zum Thema “Live Response”. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet.
Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem [...]

Testimages für forensische RAM-Analyse

06. Januar 2007 Live Analyse, Methoden 1.652 Views Kein Kommentar

Jesse Kornblum und Brian Carrier haben wieder ein paar Testimages für die RAM-Analyse veröffentlicht. Damit ist es jedermann möglich, Werkzeuge und Methoden zur forensischen Analyse von Hauptspeicherinhalten zu erproben. Es gibt folgende unterschiedliche Server- und Notebook-Images:

neue Methode zur RAM-Analyse

14. August 2006 Computer Forensik, Live Analyse, Methoden, News 1.310 Views Kein Kommentar

Auf dem diesjährigen Digital Forensics Research Workshop (DRFWS) stellte Andreas Schuster einige sehr interressante Ermittlungsansätze zur Sammlung flüchtiger Daten bei der Live-Response von verdächtigen Windows-Systemen vor.
Er nutzt hauptsächlich Strukturen der Speicherverwaltung des Windows-Kernels und seiner Objekte, um beim sequenziellen Durchsuchen eines Arbeitsspeicher-Abbildes Verwaltungsinformationen zu Prozessen und Threads zu identifizieren.

Computer