Andreas Schuster wurde mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung 2008 ausgezeichnet. Er teilt sich den dritten Preis mit Prof. Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II der Universität Regensburg. Schuster hat in seinem Projekt

Die Registry eines Windows-Systems bietet eine Vielzahl von wertvollen Informationen. So auch für die Analyse der an ein Windows-System angeschlossenen USB-Geräte. Zusätzlich zu den relevanten Hardwareinformationen kann man aus der Auswertung der setupapi.log und den User Assist Keys weitere wesentliche Erkenntnisse erlangen.

Da habe ich doch bei der Heise-Meldung “Microsoft kauft Anti-Rootkit-Firma” nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte.  Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte

Harlan Carvey hat Version 2.0A seines Tools RegRipper veröffentlicht. Mit RegRipper kann man sehr komfortabel diverse Registry-Keys analysieren. Besonderes Augenmerk liegt hier bei den MRU- und UA-Keys, die gerade bei der Analyse von nutzungsspuren wichtig sind. Neben der GUI-Version rrb.exe gibt es nun auch eine CLI-Version rli.exe, die etwas handlicher ist und auch [...]

Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten.

Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines [...]

Andreas Schuster weist in seinem Blog darauf hin, dass das Digital Forensics Institute eine Liste der forensisch relevanten Eventlogeinträge

Microsoft hat mit dem “Fundamental Computer Investigation Guide for Windows” ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, [...]