Die Website zum Buch "Computer Forensik" und zur Digitalen Forensik in Deutschland
Auch wenn an verschiedener Stelle ein Trauermarsch auf die Cebit geblasen wird, werde ich auch in diesem Jahr wieder einen Vortrag auf dem c’t Heise-Stand im Rahmen des Forums "Sicherheit und IT-Recht" halten. Thema des diesjährigen Vortrags Weiterlesen...
Mit wesentlichen Änderungen in der Analyse von Hauptspeicherinhalten wartet Version 15.2 des Forensikwerkzeugs X-Ways Forensics auf. Lange hat man nichts mehr von dem Hersteller aus Köln gehört. Im einzelnen gibt der Hersteller folgende Verbesserungen bekannt: Weiterlesen…
Es ist mal wieder an der Zeit einen kleinen Überblick über die aktuellen Tools zur Erstellung und Analyse von Windows Memory Dumps zu geben. Und weil ich Weiterlesen…
Andreas Schuster wurde mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung 2008 ausgezeichnet. Er teilt sich den dritten Preis mit Prof. Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II der Universität Regensburg. Schuster hat in seinem Projekt Weiterlesen…
Lance Mueller berichtet auf seinem Blog über die Möglichkeiten, die EnCase 6.11 nun für die Sicherstellung des RAM-Inhalts bietet. Das Hauptproblem der Vorgängerversionen war bisher Weiterlesen…
Da habe ich doch bei der Heise-Meldung „Microsoft kauft Anti-Rootkit-Firma“ nicht geschaltet, dass es sich dabei um die Firma Komoku von Nick L. Petroni Jr. handelte. Nick hat zusammen mit AAron Walters seinerzeit die Volatools veröffentlicht . Mit den Volatools konnte Weiterlesen...
msramdmp ist nun auch auf einem Boot ISO Image verfügbar. Zur Erinnerung: msramdmp ist ein kleines Programm, das den Arbeitsspeicherinhalt nach einem Kaltstart auf einen USB Stick o.ä. sichert.
Andreas Schuster schreibt in seinem Blog, dass Robert Wesley McGrew ein Tool veröffentlicht hat, um die hier beschriebene Methode der RAM-Sicherung praktisch zu unterstützen. Weiterlesen…
Das hier angekündigte SandMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Weiterlesen...
Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, Weiterlesen…