Schlagwort: Windows Forensics

Fundamental Computer Investigation Guide For Windows

Posted onLeave a comment

iconMicrosoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…

Windows-Eventlog-Forensik

Posted on1 Comment

Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.

In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.

Sebastians Ermittlungsschwerpunkt Weiterlesen…

Windows Page File Analyse

Posted on6 Comments

IconJesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse zu finden. Besser ist natürlich ein Hauptspeicherabbild, aber man kann ja nicht alles haben. 😉

Update 11.11.2006 15:20 Weiterlesen…

Process Monitor von Microsoft

Posted on4 Comments

iconMicrosoft hat hat nun das erste Tool nach der Übernahme von Sysinternals veröffentlicht, dass auf den erfolgreichen Sysinternals Werkzeugen Regmon sowie Filemon basiert und Process Monitor heisst. Der wesentliche Vorteil für die Live Response ist sicherlich darin zu sehen, nun nur noch mit einem Werkzeug alle wesentlichen Daten eines Windows-Systems zu sammeln. Ein weniger „invasives“ Arbeiten ist damit möglich.

Das Programm Weiterlesen…

Forensische Analyse des System Restore Points

Posted on5 Comments

iconHarlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…

neue Methode zur RAM-Analyse

Posted onLeave a comment

Auf dem diesjährigen Digital Forensics Research Workshop (DRFWS) stellte Andreas Schuster einige sehr interressante Ermittlungsansätze zur Sammlung flüchtiger Daten bei der Live-Response von verdächtigen Windows-Systemen vor.
Er nutzt hauptsächlich Strukturen der Speicherverwaltung des Windows-Kernels und seiner Objekte, um beim sequenziellen Durchsuchen eines Arbeitsspeicher-Abbildes Verwaltungsinformationen zu Prozessen und Threads zu identifizieren. Weiterlesen…