Speicherdump mit EnCase 6.11

iconLance Mueller berichtet auf seinem Blog über die Möglichkeiten, die EnCase 6.11 nun für die Sicherstellung des RAM-Inhalts bietet. Das Hauptproblem der Vorgängerversionen war bisherdie Tatsache, dass die RAM-Sicherungsfunktionen nur selten genutzt werden konnten, da wohl nur die wenigsten Ermittler den RAM des Systems sichern wollten, auf dem EnCase selbst lief (einzig die Enterprise Version war da in verteilten Umgebungen etwas weiter). Mit EnCase 6.11 gibt es nun ein kleines Tool namens winen.exe. Damit lässt sich der RAM von allen NT-artigen Windowssystemen (Windows 2000, XP, 2003 und Vista) sichern.

winen.exe -h
Usage: [Options]
-p : Evidence File Path
-m : Evidence Name (Max Size:50)
-c : Case Number (Max Size:64)
-e : Examiner Name (Max Size:64)
-r : Evidence Number (Max Size:64)
-d : Compression level (0=None, 1=Fast, 2=Best) (Default: 0) (min:0 max:2)
-a : A semicolon delimated list of Alternate paths
-n : Notes (Max Size:32768)
-s : Maximum file size in mb (Default: 640) (min:1 max:10485760)
-g : Error granularity (Sectors) (Default: 1) (min:1 max:1024)
-b : Block size (Sectors) (Default: 64) (min:1 max:1024)
-f : Path to configuration file
-t: Turns off hashing the evidence file (default: true)
-h: This help message

Winen erstellt ein EnCase-Evidence File .E01, welches dann in EnCase geladen und analysiert werden kann. Soweit so gut. Allerdings hinterlässt der Einsatz von winen ein paar Spuren auf dem verdächteigen System, derer man sich bewusst sein sollte: Es werden ein Dienst mit dem Namen „winen_“ und im Startverzeichnis von winen eine Treiberdatei „winen_.sys“ erstellt. Die Erstellung eines Dienstes bedeutet, dass es dadurch Änderungen natürlich in der Registry gibt. Der Dienst steht auf automatisch und winen_ wird nach jedem Reboot automatisch gestartet. Erfolgt der Start von winen von einem externen Datenträger, findet Windows die Treiberdatei „winen_.sys“ nicht und es kann kein Dienst gestartet werden. Dies hinterlässt dann allerdings einen Eintrag im Windows Eventlog.

via Lance Mueller

1 thought on “Speicherdump mit EnCase 6.11”

  1. Hallo,
    Kann das Tool den auch unter Windows XP mit SP2 / SP3 den Speicher dumpen?.
    Frueher ging das auch mit dd mit „dd if=\\.\PhysicalMemory of=……“.
    Seit SP2 unter XP ist der direkte zugriff auf dem Speichen nicht mehr moeglich.

    Welche anderen kostenlose Tools gibt es den noch??

    Gruss

    Obi-Wan
    ————————-
    May the force be with you

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert