Archiv der Kategorie: Forensik

Tipps und Tricks um C’t Desinfect 24 virtualisiert in einer virtuellen Maschine (VM) unter VMWare oder VirtualBox zu betreiben.

Wenn in einer größeren VMWare-Umgebung VMs von der IT-Security auf Viren untersucht werden müssen, bietet es sich an eine passende VM mit C’t Desinfect vorzubereiten, an die ganz einfach z.B. ein Klon der zu untersuchenden Platte gehängt werden kann, ohne den Produktivbetrieb zu unterbrechen. Die beschriebene Anleitung ist aber auch in einer lokalen VMware oder Virtual Box Umgebung brauchbar.
Die Anleitung bei Timmy’s Tutorials funktioniert leider mit aktuellen C’t Desinfect-Versionen nicht mehr besonders gut. Die Scanner funktionieren, aber man verliert das Feature des persistenten Bereichs, auf dem sowohl Virensignaturen als auch Scan-Ergebnisse in Projektverzeichnissen gespeichert werden können.

Daher schlage ich hier diese Variante zur Installation in einer VM vor, die ohne Einschränkung wie ein vollständiger Desinfect Stick arbeitet: Weiterlesen →

pagefile.sys-Forensik: Vorsicht vor Yara Fehlalarmen durch Microsoft Defender-Artefakte

Da ich mich nun viel mit Forensik unter Verwendung von Open-Source-Tools beschäftige, bin ich auf Andrea Fortunas Seite mit vielen nützlichen Informationen gestoßen. In einem Fall liegt er jedoch (nun) leider falsch. Das hängt möglicherweise von der Windows 10 Version ab. Ich habe hier Win10 Edu 21H2 für meine Untersuchung verwendet. Da Andrea Fortunas Seite scheinbar der einzige Hinweis auf technische Infos zum Thema pagefile.sys Forensik mit yara von Virustotal ist, möchte ich das hier für interessierte Leser korrigieren, um false positive zu verhindern. Weiterlesen →

Akustikkoppler

bloggen mit 300 Baud – das Weblog von Andreas Bischoff

Archiv der Kategorie: Forensik

Tipps und Tricks um C’t Desinfect 24 virtualisiert in einer virtuellen Maschine (VM) unter VMWare oder VirtualBox zu betreiben.

pagefile.sys-Forensik: Vorsicht vor Yara Fehlalarmen durch Microsoft Defender-Artefakte