Version 14.7 von X-Ways Forensics wartet wieder mit einer umfangreichen Liste von Verbesserungen und Fehlerkorrekturen auf: Weiterlesen…
Kategorie: Tools
Suspend-to-Disk Forensics
Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Weiterlesen…
Exe Packer und Unpacker Referenz
Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann ;-), noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen Weiterlesen…
Mein geschätzter Kollege Sebastian Krause hat in der aktuellen Ausgabe 01/2008 der Zeitschrift iX den X-Ways Forensics: Update 14.6
Es gibt wieder eine neue Version von X-Ways Forensics sowie der Viewer-Komponente XW-Viewer. Anbei die wieder umfangreiche List mit Verbesserungen und Fehlerkorrekturen:
Von Index-Funktionen und anderen Grausamkeiten (2)
Ich habe vor einigen Wochen eine kleine Diskussion zum Thema Indexierung los getreten. Zugegeben, das Ergebnis der kleinen Umfrage war vorhersehbar – kaum einer hält die Index-Funktion von EnCase für würdig, diesen Namen überhaupt zu tragen. Aber ich will hier mal verkünden, dass es mir mit EnCase 6.8 gelungen ist, einen Index-Vorgang wirklich fehlerfrei bis zum Ende zu bringen!
Hier der Beweis, für eine zu mehr als 90Prozent gefüllte 10GB NTFS 3.1 Partition: Weiterlesen…
neue Version der PoolTools von Andreas Schuster
Die PoolTools von Andreas Schuster wurden in der Version 1.3 veröffentlicht. Aus Performanceerwägungen wurde eine SQLite-Datenbank integriert.
X-Ways Forensics: Update 14.5
X-Ways Software hat Version 14.5 des beliebten Forensikwerkzeugs X-Ways Forensics veröffentlicht. Anbei die Liste des Herstellers mit den Verbesserungen bzw. den neuen Features : Weiterlesen…
Umfrage: Von Index-Funktionen und anderen Grausamkeiten
Der Kommentar zu einem EnCase-Posting brachte mich auf die Idee, die Besucher dieser Website zu befragen, welche Index-Funktionen am meisten benutzt werden. Es ist ja allgemein bekannt, dass beispielsweise Access Data’s Forensic Tool Kit durch den Einsatz von dtsearch eine gar vorzügliche Möglichkeit bietet, einen Suchindex zu erstellen. EnCase und X-Ways Forensics versuchten mit den letzten Majorupgrades nachzuziehen – mit eher durchwachsenem Erfolg. Weiterlesen…
Diskussion um Fehler in EnCase
Im Vorfeld der Black Hat USA 2007 gibt es wieder einmal Diskussionen um Fehler in kommerzieller Software. Dieses Thema ist grundsätzlich nicht neu und gehört zum üblichen Showkampf nun einmal dazu – sollte mich also nicht hinter dem Ofen hervorlocken. Für die Leser dieser Seite ist aber wohl interessant, dass es sich hierbei um EnCase (in der Version 5 und möglicherweise höher) handelt. Weiterlesen…