Schlagwort: Computer Forensik

Nachtrag zum Kreditkartenklau bei Guidance

Posted on3 Comments

Ich weiss nicht, ob sich einige Leser noch errinnern. Ende letzten Jahres sind Server des Herstellers der Forensiksoftware EnCase kompromittiert worden. Dabei wurden dort gespeicherte Kunden- und Kreditkartendaten gestohlen. Laut Hersteller waren ca. 3800 Kunden betroffen. Pikanterweise wurden auf dem betroffenen System nicht nur die Kreditkartendaten gespeichert, sondern auch die zugehörigen Prüfnummern. Ich denke mal eine Corporate Card des FBI hat bestimmt eine höhere Kreditlinie und stellt ein lohnendes Ziel dar. 😉
Ich erfuhr von dem Vorfall erst mehrere Tage später über einen Brief, da ich auch betroffen war: Weiterlesen…

IP-Adressen immer prüfen

Posted on5 Comments

iconIch kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.

Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…

Windows Page File Analyse

Posted on6 Comments

IconJesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse zu finden. Besser ist natürlich ein Hauptspeicherabbild, aber man kann ja nicht alles haben. 😉

Update 11.11.2006 15:20 Weiterlesen…

Process Monitor von Microsoft

Posted on4 Comments

iconMicrosoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger „invasives“ Arbeiten ist damit möglich.

Das Programm Weiterlesen…

Werkzeugkasten zur Malware Analyse

Posted onLeave a comment

BildIch werde häufig gefragt, welche Werkzeuge sich denn nun ein Ermittlungsteam zulegen sollte, Ich kann dann immer nur antworten, dass es ganz klar auf die zu untersuchende Fragstellung ankommt. Natürlich sollte man auch die Vor- und Nachteile der eigenen Werkzeuge kennen und mit Ihnen geübt haben.

Das SANS Internet Storm Center hat eine Umfrage nach sinnvollen Malware Analyse Tools durchgeführt und die Ergebnisse veröffentlicht. Sicherlich wird man nicht alle Werkzeuge verwenden wollen. Aber in Zukunft werde ich immer auf diese Liste verweisen, da sie erweitert wird (in einigen Bereichen auch erweitert werden muß ;-))

Hier die Liste: Weiterlesen…

Forensische Analyse des System Restore Points

Posted on5 Comments

iconHarlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…