Auch in diesem Jahr werde ich ein paar Vorträge auf der Cebit in Hannover halten. Diesmal werde ich mich voll und ganz dem Thema „Windows Vista Forensik“ widmen. Hier die Termine: Weiterlesen…
Kategorie: Computer Forensik
Suspend-to-Disk Forensics II
Das hier angekündigte S
andMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Weiterlesen…
X-Ways Forensics Update: 14.8
Das Upodate auf X-Ways Forensics 14.8 wartet wieder mit vielen neuen Dignen auf. Ein Schwerpunkt liegt u.a. bei der Analyse von Videodateien. Weiterlesen…
Die etwas andere Art der RAM-Analyse [Update]
Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, Weiterlesen…
Miss Identify
Jesse Kornblum (Autor von ssdeep und md5deep) hat eine neues hilfreiches Forensik-Werkzeug veröffentlicht. Mit Miss Identify kann ein Ermittler in einem gemounteten Image schnell und einfach ausführbare Dateien anhand der PE-Header identifzieren. Weiterlesen…
AccessData Forensic Toolkit 2.0 erschienen
Lange wurde darüber spekuliert und sehr oft der Erscheinungstermin verschoben, nun soll es soweit sein: AcessData ForensicToolkit ist gestern in der Version 2.0 erschienen. Mit der neuen Version soll die Arbeit an großen Images leichter von der Hand gehen, da eine Oracle-Datenbank Weiterlesen…
Studie zu Angriffen von Innentätern
Das amerikanische CERT hat gemeinsam mit dem United States Secret Service eine Studie zur Innentäterproblematik veröffentlicht. Diese ist zwar auf den amerikanischen Markt fokussiert, bietet aber durchaus einige Vergleichsmöglichkeiten mit der Situation in Deutschland, wenn man die Stichprobengröße vernachlässigt. Die Studie kommt zu folgenden Schlüsselergebnissen: Weiterlesen…
X-Ways Forensics: Update 14.7
Version 14.7 von X-Ways Forensics wartet wieder mit einer umfangreichen Liste von Verbesserungen und Fehlerkorrekturen auf: Weiterlesen…
Suspend-to-Disk Forensics
Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Weiterlesen…
Exe Packer und Unpacker Referenz
Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann ;-), noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen Weiterlesen…