for(ensik){blog;}

Evtx Parser Version 1.1.1
Mon, 28 Nov 2011 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Evtx Parser, die Perl Bibliothek und Skriptsammlung zum Auslesen von Windows Ereignisprotokollen ist ab sofort in Version 1.1.1 verfügbar. Diese Version beseitigt ein Speicherleck. Ich danke Heinz Mueller für die Fehlermeldung und Hilfe beim Testen.

Evtx Parser Version 1.1.0
Fri, 11 Nov 2011 11:11:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Ich freue mich, nach längerer Entwicklungszeit eine neue Version meines Evtx Parsers veröffentlichen zu können. Version 1.1.0 erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen. Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind jetzt als Download (ZIP) verfügbar.Die Bibliothek erkennt jetzt auch CDATA sections (Knotentyp 0x07), Referenzen auf XML Entitäten wie zum Beispiel & (Knotentyp 0x09) und XML Verarbeitungsanweisungen (Knotentypen 0x0a und 0x0b). Neu hinzugekommen sind 13 Module, die Felder von Ganzzahlen, Fließkommazahlen einfacher und doppelter Genauigkeit, GUIDs, FILETIME und SYSTEMTIME Strukturen analysieren und [..]

Forensic Technologies Preview Day 2011
Tue, 23 Aug 2011 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Praktiker schätzen die mh Service GmbH in Karlsruhe seit Jahren als Lieferant von Hard- und Software für die IT-Forensik. Am 11. und 12. Oktober 2011 veranstaltet das Unternehmen zum dritten Mal seine Hausmesse, den Forensic Technologies Preview Day, mit Fachvorträgen und Workshops.Dass man das ganze Spektrum der von mh Service vertriebenen Hard- und Softwareprodukte vorgeführt bekommt, ist für eine Hausmesse natürlich nicht besonders, aber überaus praktisch, wenn man vergleichen und eine Kaufentscheidung treffen will. Wasden Forensic Technology Preview Day jedoch auszeichnet, sind die Firmenvorträge mit durchweg hochkarätigen Referenten. So konnte ich letztes Jahr direkt von Robert Botchek, dem Gründer von Tableau, viel über die Interna des Tableau Imagers und seines Ansatzes [..]

Evtx Parser Version 1.0.8
Thu, 09 Jun 2011 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Meine Bibliothek und Programmsammlung zum Auslesen von Windows Ereignisprotokollen ist in Version 1.0.8 erschienen. Während es nur kleinere Verbesserungen am Programmcode gibt, hat sich die Organisation des Archivs grundlegend geändert. Ich entschuldige mich schon vorab für etwaige Unannehmlichkeiten, die diese Änderung verursacht. Die aktuelle Version ist hier verfügbar.Zu den wesentlichen Änderungen seit der Version 1.0.7 gehören: Alle von BxmlNode abgeleiteten Objekte geben jetzt einen kurzen Hex Dump mit den Rohdaten aus, wenn sie auf ein unbekanntes Konstrukt treffen. Bitte senden Sie mir diese Daten wenn irgend möglich, um mir die Verbesserung des Parsers zu ermöglichen. Evtx.pm liest jetzt die Nummer des ältesten Chunks aus dem Dateikopf und macht diese Information in der [..]

Speicheranalyse von OS X mit Volafox
Wed, 08 Jun 2011 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Kyeong-Sik Lee und das Korean Digital Forensic Research Center haben Volafox, eine quelloffene Software zur Analyse von Mac OS X Arbeitsspeicherabbildern, veröffentlicht. Volafox basiert auf der Arbeit von Matthieu Suiche (Artikel und Präsentation) und dem Volatility Framework für die forensische Untersuchung von Arbeitsspeicherabbildern.Volafox ist vollständig in Python geschrieben und erfordert den Python-Interpreter in Version 2.5 (oder einer späteren Version der Reihe 2.x) . Für die Installation laden Sie einfach das Archiv und entpacken Sie es, zum Beispiel mit unzip. Die Bedienung des Programms ist sehr einfach: $ python volafox.py Memory analyzer for OS X 0.5 - n0fate Contact: rapfer@gmail.com usage: python volafox.py -i MEMORY_IMAGE -s KERNEL_IMAGE -o INFORMATION -= CAUTION [..]

10.05.2011: IMF 2011
Wed, 27 Oct 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Vom 10. bis 12.5.2011 findet die sechste International Conference on IT Security Incident Management & IT-Forensics statt. Während der Termin der Konferenz vom Herbst in das Frühjahr wechselte, bleibt der Veranstaltungsort beim Fraunhofer Institut IAO in Stuttgart bestehen. Der Call for Papers ist offen; Stichtag für Einreichungen ist der 3. Januar 2011. Weitere Informationen gibt es auf der Website der Konferenz.

01.12.2010: Seminar Multimedia-Forensik
Tue, 26 Oct 2010 11:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Die Carl-Cranz Gesellschaft e.V. veranstaltet am 1. und 2.12.2010 in Oberpfaffenhofen einen Workshop zur Multimedia-Forensik. Referenten sind Prof. Dr. Rainer Böhme (WWU Münster), Thomas Gloe und Matthias Kirchner (beide TU Dresden). Die Teilnahmegebühr beträgt 999,00 EUR. Ein ausführliches Programm sowie weitere Informationen zu Anreise und Hotels gibt es beim Veranstalter.

FTK Imager 3.0
Fri, 08 Oct 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Das Bessere ist der Feind des Guten. AccessData hat den Funktionsumfang des kostenlos erhältlichen FTK Imager in der jetzt erschienenen Version 3.0 erheblich erweitert. Besonders praktisch ist, dass der Imager jetzt auch forensische Abbilder in allen gebräuchlichen Formaten als physische Laufwerke, und darin enthaltene FAT- und NTFS-Partitionen auch als logische Laufwerke in Windows einbinden kann.Bei den Abbildformaten ist das quelloffene, von Simson, L. Garfinkel und Basis Technology Corp. entwickelte Advanced Forensics Format (AFF) hinzugekommen. Neu hinzugekommen ist die Unterstützung für das Veritas File System (VXFS), Microsofts exFAT und das zunehmend beliebter werdende Ext4. Die größte Neuerung ist jedoch, dass der Imager unter Microsoft Windows jetzt auch Abbilder in das [..]

CarvFS auf dem Mac
Mon, 30 Aug 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.Für die Installation von CarvFS unter OS X benötigen Sie MacPorts und meine Portfiles.. Kopieren Sie zunächst das [..]

Evtx Parser Version 1.0.5
Fri, 07 May 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.Die Änderungen im Einzelnen: Die diversen CRC32-Prüfsummen in den Modulen Evtx.pm und Chunk.pm werden nun mit Digest::CRC berechnet, das erheblich schneller als das bisher verwendete Digest::Crc32 ist. Besonders deutlich wird der Geschwindigkeitsgewinn, wenn man eine sehr große Protokolldatei mit evtxinfo.pl untersucht. Dank an Kristinn Gudjonsson für den Verbesserungsvorschlag. Mark Woan hat mir eine Beispieldatei zur Verfügung gestellt, die Daten des Typs 0x12 enthält. Es ist nun klar, dass es [..]

Folien vom SANS Forensics Summit
Mon, 19 Apr 2010 07:30:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.

Evtx Parser Version 1.0.4
Thu, 25 Mar 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Version 1.0.4 des Eventlog-Parsers für Microsoft Vista und Windows 2008 steht jetzt zum Download bereit. Diese Version behebt wieder einige Fehler und überprüft nun auch die Integrität der Ereignis-Daten.Diese Version des Parsers behebt ein Problem, das sich durch die Meldung eines Fehlers in Zeile 37 (oder 38, je nach Version) des Moduls Node0x0c.pm bemerkbar macht. Die Ursache ist sehr interessant: Blöcke können nämlich hinter ihrem letzten Ereigniseintrag noch weitere Daten enthalten. Entweder handelt es sich dabei dann um die Reste älterer und schon in Teilen überschriebener Ereignismeldungen, oder aber um den Beginn eines Eintrags, der dann aber schließlich doch zu groß für noch freien Speicherplatz im Block wurde. Gewöhnlich handelt es sich aber nur um "Datenmüll", den [..]

Null ist nicht immer 0
Thu, 11 Mar 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Die Trennung von Struktur und Inhalt ist zusammen mit dem Substitutions-Mechanismus eines der grundlegenden Konzepte des Ereignisprotokolls. In die Beschreibung der XML-Struktur sind Platzhalter eingebettet, die mit Werten aus dem SubstitutionArray, einer Tabelle am Ende des jeweiligen Protokolleintrags, gefüllt werden. Wann immer ein Eintrag in dieser Tabelle dem "Wert" NullType enthält, wird in der XML-Struktur der zugehörige Platzhalter mitsamt des ihn umgebenden XML-Elements unterdrückt. Die mit NullTypes gefüllten Einträge der Tabelle enthalten sonst keine weiteren Daten. Jedenfalls nahm ich das an, bis ich mich kürzlich überraschen lassen musste.Die folgende Abbildung zeigt einen Ausschnitt aus einem typischen SubstitutionArray. Die Daten wurden zur besseren Lesbarkeit mit dem [..]

Workshop zur RAM-Forensik
Tue, 02 Mar 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Erstmals wird es jetzt den Workshop zur forensische Analyse von Arbeitsspeicherinhalten auch in deutscher Sprache geben: Am 22. und 23. April 2010 werde ich den Kurs bei Security Research in Wien abhalten.Nach einer Einführung in die technischen Grundlagen des RAM und der Intel x86-Architektur wird es an den zwei Tagen wird es reichlich Gelegenheit geben, Speicherabbilder selbst zu analysieren. Als Hilfsmittel dazu dienen vor allem der Microsoft Debugger und das bekannte Volatility, das jeder Teilnehmer als speziell angepasste Version in einer virtuellen Maschine erhält. Weitere Informationen gibt es in der Kursbeschreibung des Veranstalters Security Research.

Fernstudiengang Digitale Forensik
Mon, 01 Mar 2010 10:00:00 +0100  
von Andreas Schuster Copyright © 2011 for(ensik){blog;}. Alle Rechte vorbehalten.Die FH Albstadt-Sigmaringen richtet zum kommenden Wintersemester einen Master-Studiengang "Digitale Forensik" ein. Von einigen Präsenzphasen abgesehen, werden Vorlesungen und Übungen online abgehalten werden. Bewerbungen bei der FH Albstandt-Sigmaringen sind ab sofort und bis zum 15. Juli 2010 möglich.Immer wieder werde ich gefragt, wie man eigentlich IT-Forensiker werden kann. Die Antwort hängt natürlich von der Biographie und Persönlichkeit des Fragestellers ab. Eine Möglichkeit ist ein (Aufbau-) Studium. Entsprechende Angebote gibt es zum Beispiel am University College in Dublin und zahlreichen Universitäten in den USA. Vielen Interessenten sind dann letztlich die Hürden dieser Angebote zu hoch: Vereinbarkeit mit der familiären und beruflichen Situation, Kosten, aktive [..]

Hinweis: Der Feed "for(ensik){blog;}" und dessen hier dargestellten RSS-Inhalte liegen urheberrechtlich beim Autor der Betreiber-URL (siehe RSS-Link). Auf den Inhalt von "for(ensik){blog;}" hat RSS-Nachrichten.de keinen Einfluss. (19697-4-203-0 - 0)