neue Version des Evtx Parsers erschienen

Posted on16. November 2011Leave a comment

Andreas Schuster hat Version 1.1.0 seines Evtx Parsers für die forensische Analyse neuerer Windows Eventlogs veröffentlicht. Diese Version erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen. Weiterlesen…

FTK im Bundle mit Silentrunner

Posted on9. August 2008Leave a comment

AccessDatas FTK wird nun im Bundle mit Silentrunner vertrieben. Zu FTK muss ich ja nix mehr sagen, aber vielleicht zu Silentrunner. Weiterlesen…

Windows Eventlogeinträge erläutert

Posted on6. August 200730. November 2008Leave a comment

Andreas Schuster weist in seinem Blog darauf hin, dass das Digital Forensics Institute eine Liste der forensisch relevanten Eventlogeinträge Weiterlesen…

Nachtrag zum Eventlogartikel

Posted on9. Januar 20078. Februar 2007Leave a comment

Andreas Schuster hat zum Artikel in der iX 1/2007 über Windows Ereignisprotokolle einige Ergänzungen veröffentlicht. Er weist korrekterweise darauf hin, dass einige der dort vorgestellten Tools (namentlich EnCase und fccuevtreader) geteilte Eventlog-Einträge nicht korrekt anzeigen. Weiterlesen…

Windows-Eventlog-Forensik

Posted on15. Dezember 20068. Februar 20071 Comment

Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.

In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.

Sebastians Ermittlungsschwerpunkt Weiterlesen…

IP-Adressen immer prüfen

Posted on11. November 20069. Februar 20075 Comments

Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.

Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…

neues Eventlog-Format bei Vista

Posted on10. Oktober 20069. Februar 20072 Comments

icon Andreas Schuster berichtet gerade auf seinem Blog, dass bei Vista ein verändertes Dateiformat verwendet wird. Er hat bei dieser Gelegenheit die unterschiedlichen Eventlog-Format der Windows-Versionen verglichen. War ja auch mal irgendwie nötig 🙂
Weiterlesen…