Mit dem kostenlosen Werkzeug PEiD kann man eine erste Analyse einer unbekannten Binärdatei durchführen. Das Tool liefert sehr viele Informationen über ausführbare Dateien. Es werden über 450 unterschiedliche „Packer“ und Compiler erkannt. Über eine Plugin-Schnittstelle können Weiterlesen…
Windows Page File Analyse
Jesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse zu finden. Besser ist natürlich ein Hauptspeicherabbild, aber man kann ja nicht alles haben. 😉
Update 11.11.2006 15:20 Weiterlesen…
Process Monitor von Microsoft
Microsoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger „invasives“ Arbeiten ist damit möglich.
Das Programm Weiterlesen…
WordPress Update
Ich habe eine neue Version von WordPresse auf dem Server installiert. Alles läuft bis jetzt ohne Probleme, wenn nicht, bitte mailen. Danke.
Werkzeugkasten zur Malware Analyse
Ich werde häufig gefragt, welche Werkzeuge sich denn nun ein Ermittlungsteam zulegen sollte, Ich kann dann immer nur antworten, dass es ganz klar auf die zu untersuchende Fragstellung ankommt. Natürlich sollte man auch die Vor- und Nachteile der eigenen Werkzeuge kennen und mit Ihnen geübt haben.
Das SANS Internet Storm Center hat eine Umfrage nach sinnvollen Malware Analyse Tools durchgeführt und die Ergebnisse veröffentlicht. Sicherlich wird man nicht alle Werkzeuge verwenden wollen. Aber in Zukunft werde ich immer auf diese Liste verweisen, da sie erweitert wird (in einigen Bereichen auch erweitert werden muß ;-))
Hier die Liste: Weiterlesen…
Forensische Analyse des System Restore Points
Harlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…
Text Links Ads im Selbstversuch II
Ich hatte an dieser Stelle bereits über meinen Selbstversuch mit TLA berichtet. Allerdings war ich mit dem Anbieter nicht so ganz zufrieden. Seit kurzer Zeit gibt es nun LinkLift, die sich vorrangig auf den deutschen Markt fokussieren. Zeitgemäß kommt LinkLift mit Beta-Sign und Bonbon-Farben daher 😉
Feedvertising ist damit wohl auch möglich. Ich werde berichten.
Helix 1.8 ist raus!
Die von vielen Ermittlungsteams (auch wir verwenden diese) häufig eingesetzte Incident Response & Forensics Live CD Helix ist aktualisiert worden. Version 1.8 ist seit letzter Woche unter http://www.e-fense.com/helix/ kostenlos beziehbar. Helix besteht aus einem Windows-Teil und einem Live Linux-Teil, der auf Knoppix basiert.
Neben der Aktualisierung der Tools, wurde PTFinder von Weiterlesen…
Einbruch beim LKA
Law Blog meldet unter Bezug zum LKA in Düsseldorf :
„Bei einem Einbruch in ein Büro des Landeskriminalamtes am vergangenen Wochenende entwendeten bislang unbekannte Täter einen dienstlichen Laptop und eine Schusswaffe.“
Ist ja eigentlich auch kein berichtenswertes Problem und kommt recht häufig vor – bis vielleicht auf Weiterlesen…
neues Eventlog-Format bei Vista
Andreas Schuster berichtet gerade auf seinem Blog, dass bei Vista ein verändertes Dateiformat verwendet wird. Er hat bei dieser Gelegenheit die unterschiedlichen Eventlog-Format der Windows-Versionen verglichen. War ja auch mal irgendwie nötig 🙂
Weiterlesen…