Version 14.7 von X-Ways Forensics wartet wieder mit einer umfangreichen Liste von Verbesserungen und Fehlerkorrekturen auf: Weiterlesen…
Autor: Alexander Geschonneck
Suspend-to-Disk Forensics
Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Weiterlesen…
Exe Packer und Unpacker Referenz
Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann ;-), noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen Weiterlesen…
WordPress 2.3.2
Wegen einiger dringender Security Fixes habe ich WordPress auf die Version 2.3.2 aktualisiert. Wenn irgendwo etwas haken sollte, bitte eine kurze Info. Danke.
X-Ways Forensics: Update 14.6
Es gibt wieder eine neue Version von X-Ways Forensics sowie der Viewer-Komponente XW-Viewer. Anbei die wieder umfangreiche List mit Verbesserungen und Fehlerkorrekturen:
DFN Workshop „Sicherheit in vernetzten Systemen“
Am 13. und 14.Februar 2008 findet zum fünfzehnten Mal der DFN-Workshop „Sicherheit in vernetzten Systemen“ in Hamburg statt. Da ich in meinem früheren Leben auch in ein DFN-Projekt involviert war, freut es mich besonders, dass ich diesmal als Referent zum Thema „Windows Vista Forensics“ dabei sein werde.
Das vollständige Programm Weiterlesen…
Von Index-Funktionen und anderen Grausamkeiten (2)
Ich habe vor einigen Wochen eine kleine Diskussion zum Thema Indexierung los getreten. Zugegeben, das Ergebnis der kleinen Umfrage war vorhersehbar – kaum einer hält die Index-Funktion von EnCase für würdig, diesen Namen überhaupt zu tragen. Aber ich will hier mal verkünden, dass es mir mit EnCase 6.8 gelungen ist, einen Index-Vorgang wirklich fehlerfrei bis zum Ende zu bringen!
Hier der Beweis, für eine zu mehr als 90Prozent gefüllte 10GB NTFS 3.1 Partition: Weiterlesen…
NTFS LastAccessUpdate unter Vista
Kann mir bitte mal einer erklären, warum unter Vista das Schreiben des Last Access Timestamps unter NTFS standardmäßig deaktiviert ist? Aber doch bitte nicht aus Performancegründen, oder?
Der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate steht bei Vista standardmäßig auf „1“. Weiterlesen…
Motivlage Botnet-Betreiber
Was kann man mit einem Botnet verdienen? Neben meinem Beitrag zum Wert von Kreditkartendaten, hier mal ein anderes Beispiel zu Adware: In einem Artikel zu einem aktuellen Fall schreibt die Washington Post, dass der Beschuldigte zeitweise ca. 250.000 infizierte PC in einem Botnet kontrollierte und dort u.a. im Auftrag der Firma TopConverting verschiedene Adware installiert haben soll. Weiterlesen…