Nach dem dieses und auch mein privates Blog geschonneck.com bei punish-punisher und Ableger als „moralisch bedenklich“ veröffentlicht wurde, werde ich von den Betreibern nun mit ominösem Trackbackspam zugeschüttet. Genau wie diese und diese und diese Kollegen, Weiterlesen…
Jahr: 2006
IP-Adressen immer prüfen
Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.
Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…
Malware Analyse mit PEiD
Mit dem kostenlosen Werkzeug PEiD kann man eine erste Analyse einer unbekannten Binärdatei durchführen. Das Tool liefert sehr viele Informationen über ausführbare Dateien. Es werden über 450 unterschiedliche „Packer“ und Compiler erkannt. Über eine Plugin-Schnittstelle können Weiterlesen…
Windows Page File Analyse
Jesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse zu finden. Besser ist natürlich ein Hauptspeicherabbild, aber man kann ja nicht alles haben. 😉
Update 11.11.2006 15:20 Weiterlesen…
Process Monitor von Microsoft
Microsoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger „invasives“ Arbeiten ist damit möglich.
Das Programm Weiterlesen…
WordPress Update
Ich habe eine neue Version von WordPresse auf dem Server installiert. Alles läuft bis jetzt ohne Probleme, wenn nicht, bitte mailen. Danke.
Werkzeugkasten zur Malware Analyse
Ich werde häufig gefragt, welche Werkzeuge sich denn nun ein Ermittlungsteam zulegen sollte, Ich kann dann immer nur antworten, dass es ganz klar auf die zu untersuchende Fragstellung ankommt. Natürlich sollte man auch die Vor- und Nachteile der eigenen Werkzeuge kennen und mit Ihnen geübt haben.
Das SANS Internet Storm Center hat eine Umfrage nach sinnvollen Malware Analyse Tools durchgeführt und die Ergebnisse veröffentlicht. Sicherlich wird man nicht alle Werkzeuge verwenden wollen. Aber in Zukunft werde ich immer auf diese Liste verweisen, da sie erweitert wird (in einigen Bereichen auch erweitert werden muß ;-))
Hier die Liste: Weiterlesen…
Forensische Analyse des System Restore Points
Harlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…
Text Links Ads im Selbstversuch II
Ich hatte an dieser Stelle bereits über meinen Selbstversuch mit TLA berichtet. Allerdings war ich mit dem Anbieter nicht so ganz zufrieden. Seit kurzer Zeit gibt es nun LinkLift, die sich vorrangig auf den deutschen Markt fokussieren. Zeitgemäß kommt LinkLift mit Beta-Sign und Bonbon-Farben daher 😉
Feedvertising ist damit wohl auch möglich. Ich werde berichten.
Helix 1.8 ist raus!
Die von vielen Ermittlungsteams (auch wir verwenden diese) häufig eingesetzte Incident Response & Forensics Live CD Helix ist aktualisiert worden. Version 1.8 ist seit letzter Woche unter http://www.e-fense.com/helix/ kostenlos beziehbar. Helix besteht aus einem Windows-Teil und einem Live Linux-Teil, der auf Knoppix basiert.
Neben der Aktualisierung der Tools, wurde PTFinder von Weiterlesen…