CAINE 7.0 DeepSpace is out!
update CAINE und Win-UFO
Hinterlasse eine Antwort
Win-UFO v5.6 Update
Win-UFO v6.0 is out
Quelle: http://win-ufo.org/downloads.shtml
Bilder: kopiert aus dem Manuel
WIN-UFO
Windows Ultimate Forensics Outflow
DOWNLOAD: Win-UFO v5.6 Update
DATE: 01/15/2015
SIZE: 14.9 MB
LICENSE: Freeware
MD5 SUM:
d9e93ebb9f24d55db1150396cd67f3a1
SHA1 SUM:
8751ac4d54641e2987d732ec5584028ee4997611
Dieses Projekt hat die einschlägigen Tools unter einer Oberfläche zusammen gefasst. Es kann ein automatisierter Bericht erstellt werden in dem alle Schritte auf dem Live-System protokolliert werden. Die Registry kann im laufenden Betrieb gesichert werden und natürlich kann auch ein RAM Dump erstellt werden. EDD ist ebenfalls vorhanden, sowie FTK-Imager. Insbesondere zum Einsatz in der virtuellen Maschine können auch von SB wertvolle erste Infos des Systems erlangt werden. Das Update setzt natürlich eine vorhandene Vollversion voraus.
Caseerstellung
Beispiel aus einer älteren Version
DEFT Zero (beta) ready for download
Quelle: http://www.deftlinux.net/2015/01/25/deft_zero_beta_ready_for_download
Posted by admin on 25 Jan, 2015 in DEFT Linux @en
In the last few months we have a little AWOL. We didn’t meet the DEFT ZERO deadlines and we apologize for that.
What’s DEFT ZERO? This new mini DEFT distro is fully optimized for the acquisition and hashing of mass storage devices, in just 400 MB! Due DEFT Zero’s light weight and the fact that it can be loaded entirely into RAM at computer boot, it allows you virtually to turn any computer (even a really obsolete one) into a storage media cloner device.
The project is at an advanced stage of development: in other words DEFT Zero is almost ready! Now, therefore, we decided to release the final public BETA of DEFT Zero. Why is it still in beta? Because it currently has a bug (we’re about to solve it) on cloning of mass storage hard disc with a Linux LVM. Despite the alteration does not change time references or files status, we strongly recommend to not use deft zero to acquire this kind of device.
VirtualBox 4.3.20 und M$ Windows 8.1 (GPT)…
Als ich die Changelogs gelesen habe, habe ich es nicht geglaubt/beachtet (wie oft wurde es schon behauptet und hat nie funktioniert)!
Erst, als mir ein entsprechendes Ticket (comment:12) dazu vor die Augen gekommen ist, habe ich es doch nochmal versucht:
VirtualBox unter Debian GNU/Linux 7.7 aktualisiert (selbstverständlich aus dem VirtualBox-Repository), per xmount ein EWF-Image (.E01) als RAW-Image zur Verfügung gestellt, mich als Datenträger für einen für heutige Desktops eher unüblichen entschieden (IDE – damit erübrigt sich seit M$ Windows 8 das bearbeiten der Registry) und gestartet.
Und siehe da, es funktioniert! 🙂
Arsenal Image Mounter Virtualisierung von E01 Imagen
Seit dem Erscheinen von Arsenal Image Mounter gibt es eine weitere Möglichkeit ein E01 Image zu virtualisieren und gleichzeitig eine .vmdk zu erstellen, die nicht mehr auf das Image angewiesen ist. In diesem Beispiel wurde ein Win 8.1 Image verwendet.
Benötigte Software:
Arsenal Image Mounter: http://arsenalrecon.com/apps/image-mounter/
Paragon Virtualisierungstool z.B. Go Virtual 14 ( oder ähnliche Software, hier Kosten: 16,00 Euro)
https://www.paragon-software.de/de/home/go-virtual/
Installieren von AIM. Hierbei wird jetzt ein zusätzlicher SCSI-Treiber installiert, der die Besonderheit von dem Tool ausmacht.
Mit Admin-Rechten die „MountTool.exe starten.
Für gesplittete E01 Image ist diese Auswahl zu treffen.
Das Image wird „writeable“ eingebunden.
Der Mounter hängt immer sowohl logisch, als auch physikalisch ein.
Wie aber auch zu erkennen ist, wird das Image als Datenträger unter der Systemverwaltung von Windows erkannt.
Dies ist der entscheidende Unterschied zu FTK-Imager, weil jetzt auch andere Programme den Datenträger interpretieren können.
Weiterer Effekt ist, dass z.B. beim logischen Mounten von einem Bitlocker-Laufwerk eine Abfrage zum Eingeben des Schlüssels gemacht wird. Sehr interessant für XWays-User.
Paragon Go Virtual 14 starten.
Hier ist das Image als Arsenal Virtual Device auszuwählen, einschließlich aller Partitionen
Durch die wenigen Einstellungen klicken.
Das Image wird jetzt virtualisiert.
Eine .vmdk wird geschrieben.
Eine .vmx wird geschrieben und angepasst.
Damit ist die VM laufbereit.
Wir müssen jetzt nur noch die VM an unsere Bedürfnisse anpassen:
Netzwerk trennen
Tools instalieren
Benutzer zurücksetzen
etc.
Also gar nicht schlecht diese Variante. Bei einem sehr großen Image, welches nur von uns selbst virtuell ausgewertet werden soll, bietet es sich an, das Image nur einzuhängen und die .vmx selbst zu verändern, um die VM lauffähig zu machen.
Festplatte in VirtualBox nachträglich vergrößern
Ouelle:
http://www.tecchannel.de/storage/tipps/2039511/festplatte_in_virtualbox_nachtraeglich_vergroessern/
Häufig reservieren Anwender beim Erstellen einer virtuellen Maschine zu wenig Kapazität für die Festplatte. Die spätere Anpassung in Oracles VirtualBox ist nicht so komfortabel wie bei den Konkurrenzprodukten von VMware. Unser Tipp zeigt, wie es auf der Kommandozeile funktioniert.
Lösung: Um die virtuelle Festplatte zu vergrößern, benötigt man das mit VirtualBox installierte Tool VBoxManage. Nachdem man die virtuelle Maschine ausgeschaltet hat,muss man unter Windows die Eingabeaufforderung beziehungsweise ein Terminal unter Linux öffnen.
Das Tool versteht verschiedene Parameter, um die Festplattengröße zu ändern. Im Programmverzeichnis von VirtualBox ruft man nun den folgenden Befehl auf:
VBoxManage.exe modifyhd <Pfad zur VDI-Datei> –resize <Größe in Megabyte>
Es sei hier angemerkt, dass dadurch nur die virtuelle Größe geändert wird, dh. ich habe mehr Platz für zukünftige Installationen. Die physikalische Belegung von Festplattenplatz entspricht auch weiterhin der tatsächlichen Belegung.
Dies wäre dann ein Beispiel für den kompletten Befeh lauf eine Vergrößerung auf 50 GB:
C:\Program Files\Oracle\VirtualBox>VBoxManage.exe modifyhd D:\MASCHINEN\VirtualB
oxClients\Win8.1_privat\Win8.1_privat.vdi –resize 50000
Moral von der Geschicht………geizt mit virtuellen Speicher nicht.
Arbeitsspeicheranalyse (ein möglicher Einstieg)…
Als ich die sinnvollen von den sinnfreien Twitter-Beiträgen getrennt habe, ist mir folgender Mitschnitt einer Präsentation über Volatility (von einem Projektmitglied) ins Auge gefallen.
Ich finde, es ist ein angenehmer (wenn man nur liest) und doch recht kompletter (wenn man auch zuhört) Einstieg in das „Wann und warum macht es Sinn, den Arbeitsspeicher zu analysieren“.
Viel Spaß beim konsumieren!
Wenn Malware sich analysiert fühlt…
Hier wird recht einfach und verständlich aufgezeigt, wie schlau Malware „von heute“ doch sein kann.
Wie man etwas dagegen tun kann, hat u. a. Michael Boman in seinem Blog geschrieben. Zieht man „Tante Google“ zu Rate, erschlagen einen förmlich die Tipps!
Und bei einem abschließendem Test könnte folgendes Projekt eine große Hilfe sein: Paranoider Fisch!?
Besonders sinnvoll ist ein solches „härten“ insb. in Bezug auf automatisierte Malware-Analyse z. B. per Cuckoo.
Happy hackin‘!
How to fix disabled audio in OS X 10.10 Yosemite
Quelle: http://betanews.com/2014/08/26/how-to-fix-disabled-audio-in-os-x-10-10-yosemite-beta/
Thank You Mihaita Bamburic
Funktioniert auf meinem MacBook Pro (13 Zoll, Mitte 2010) Diese Information hätte ich eigentlich bei Apple selbst erwartet, aber naja …………………..
OS X Yosemite mit Paldin Edge bootbar
Am 15.10.2014 wurde OS X Version 10.10. veröffentlicht
Die gute Nachricht dazu, es ist auch mit Paladin Edge bootbar, die Vorgängerversion Paladin 5.02 funktioniert nicht. Diese Aussagen beziehen sich auf die von mir getestete Hardware:
MacBookPro7,1 und iMac12,2
http://sumuri.com/product-category/paladin/
Um „Edge“ auf einen USB-Stick zu bekommen, benutze ich, wie auch für alle anderen Live-Systeme die Software Rufus http://rufus.akeo.ie/
Der Vorteil von diesem System liegt in der sehr schnellen Kopiergeschwindigkeit und Zuverlässigkeit der Bootfähigkeit. Es gibt natürlich auch noch diverse andere Möglichkeiten einen Stick zu erstellen. Diese Anleitung wurde mit einem MacBookPro7,1 und einem iMac12,2 getestet.Nach dem download von „Rufus“, mitlerweile in der Version 1.4.10 verfügbar, braucht es nur noch einen kompatiblen Stick. Meine Versuche waren mit Sandisk und Sharkoon erfolgreich.
Screenshot Rufus hier noch Vers. 1.4.9.506
Wie hier zu erkennen ist, konnte eine autorun.inf nicht erstellt werden. Das lässt sich umgehen, indem der Virenscanner beim Erstellen ausgestellt wird.
Nach dem wirklich sehr schnellen Kopiervorgang von 49 Sec. ,war es dass schon. Stick auswerfen, MacBook in den Bootmanager starten. Das erreicht Ihr mit dedrückter „Alt-Taste“ beim Starten. Jetzt nur den Stick auswählen und „Edge“ mit der richtigen KeyMap starten.
MacBookPro7,1 mit SSD
Paladin Edge Screenshot MacBook
Die Sicherung sollte dann am schnellsten über das Netzwerk funktionieren. Details dazu und noch ein paar nette Funktionen von Paladin, gibts beim „Virtualisierungslehrgang“.