Cebit 2009: RAM Forensik

Posted on22. Februar 2009Leave a comment

Auch wenn an verschiedener Stelle ein Trauermarsch auf die Cebit geblasen wird, werde ich auch in diesem Jahr wieder einen Vortrag auf dem c’t Heise-Stand im Rahmen des Forums „Sicherheit und IT-Recht“ halten. Thema des diesjährigen Vortrags Weiterlesen…

X-Ways Forensics: Update 15.2

Posted on20. Januar 2009Leave a comment

Mit wesentlichen Änderungen in der Analyse von Hauptspeicherinhalten wartet Version 15.2 des Forensikwerkzeugs X-Ways Forensics auf. Lange hat man nichts mehr von dem Hersteller aus Köln gehört. Im einzelnen gibt der Hersteller folgende Verbesserungen bekannt: Weiterlesen…

Zusammenfassung Windows Memory Forensics

Posted on14. Dezember 20083 Comments

Es ist mal wieder an der Zeit einen kleinen Überblick über die aktuellen Tools zur Erstellung und Analyse von Windows Memory Dumps zu geben. Und weil ich Weiterlesen…

Deutscher IT-Sicherheitspreis 2008 für Andreas Schuster

Posted on25. Oktober 200826. Oktober 2008Leave a comment

Andreas Schuster wurde mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung 2008 ausgezeichnet. Er teilt sich den dritten Preis mit Prof. Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II der Universität Regensburg. Schuster hat in seinem Projekt Weiterlesen…

Speicherdump mit EnCase 6.11

Posted on7. Juni 20081 Comment

Lance Mueller berichtet auf seinem Blog über die Möglichkeiten, die EnCase 6.11 nun für die Sicherstellung des RAM-Inhalts bietet. Das Hauptproblem der Vorgängerversionen war bisher Weiterlesen…

Volatools geht an Microsoft?

Posted on10. April 2008Leave a comment

Da habe ich doch bei der Heise-Meldung „Microsoft kauft Anti-Rootkit-Firma“ nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte. Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte Weiterlesen…

msramdmp als Boot ISO

Posted on4. April 20085. April 2008Leave a comment

msramdmp ist nun auch auf einem Boot ISO Image verfügbar. Zur Erinnerung: msramdmp ist ein kleines Programm, das den Arbeitsspeicherinhalt nach einem Kaltstart auf einen USB Stick o.ä. sichert.

msramdmp – RAM sichern

Posted on10. März 20081 Comment

Andreas Schuster schreibt in seinem Blog, dass Robert Wesley McGrew ein Tool veröffentlicht hat, um die hier beschriebene Methode der RAM-Sicherung praktisch zu unterstützen. Weiterlesen…

Suspend-to-Disk Forensics II

Posted on28. Februar 20081 Comment

Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Weiterlesen…

Die etwas andere Art der RAM-Analyse [Update]

Posted on22. Februar 20083. August 200811 Comments

Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, Weiterlesen…