In iX 01/2011 ist ein Artikel zur forensischen Analyse der Windows-Registry erschienen. Maßgeblicher Autor ist Alexander Sigel, ein Kollege aus meinem Forensik-Team . Aus Platzgründen haben es leider nicht alle Informationen in den Artikel geschafft. Diese finden sich nun hier. Weiterlesen…
Schlagwort: Windows Forensics
iX-Artikel: Windows-Registry-Forensik
In iX 01/2011 ist ein Artikel zur forensischen Analyse der Windows-Registry erschienen. Maßgeblicher Autor des Artikels „Registry als Datenfundgrube“ ist Alexander Sigel aus meinem Forensic Technology Team. Die im Artikel erwähnten weiterführenden Informationen finden sich hier.
Cebit 2010: Vortrag Windows 7 Forensik [Update]
Am 5.3.2010 werde ich auf dem Stand des Heise-Verlags einen kurzen Überblicksvortrag über Windows 7 Forensik halten. Weiterlesen…
Zusammenfassung Windows Memory Forensics
Es ist mal wieder an der Zeit einen kleinen Überblick über die aktuellen Tools zur Erstellung und Analyse von Windows Memory Dumps zu geben. Und weil ich Weiterlesen…
Deutscher IT-Sicherheitspreis 2008 für Andreas Schuster
Andreas Schuster wurde mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung 2008 ausgezeichnet. Er teilt sich den dritten Preis mit Prof. Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II der Universität Regensburg. Schuster hat in seinem Projekt Weiterlesen…
USB-Geräte analysieren
Die Registry eines Windows-Systems bietet eine Vielzahl von wertvollen Informationen. So auch für die Analyse der an ein Windows-System angeschlossenen USB-Geräte. Zusätzlich zu den relevanten Hardwareinformationen kann man aus der Auswertung der setupapi.log und den User Assist Keys weitere wesentliche Erkenntnisse erlangen. Weiterlesen…
Volatools geht an Microsoft?
Da habe ich doch bei der Heise-Meldung „Microsoft kauft Anti-Rootkit-Firma“ nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte. Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte Weiterlesen…
RegRipper in neuer Version [update]
Harlan Carvey hat Version 2.0A seines Tools RegRipper veröffentlicht. Mit RegRipper kann man sehr komfortabel diverse Registry-Keys analysieren. Besonderes Augenmerk liegt hier bei den MRU- und UA-Keys, die gerade bei der Analyse von nutzungsspuren wichtig sind. Neben der GUI-Version rrb.exe gibt es nun auch eine CLI-Version rli.exe, die etwas handlicher ist und auch in eigene Skripte einbaubar ist. Weiterlesen…
Suspend-to-Disk Forensics II
Das hier angekündigte S
andMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Weiterlesen…
Suspend-to-Disk Forensics
Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Weiterlesen…