Friday, May 18, 2007

VAD Tools Posted

As promised, I've posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VAD tools. I'm hosting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on SourceForge right now. Anyone who's interested in memory forensics is encouraged to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and play with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Suggestions, bug reports, and code contributions would also be greatly appreciated.

Links:

Thursday, May 17, 2007

Oracle Forensics Articles

David Litchfield of NGS Software has put up several excellent articles on Oracle Database Forensics. Litchfield is generally considered to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most knowledgeable person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of database security, so his thoughts on database forensics carry a lot of weight.

So far four articles have been posted:
  1. Oracle Forensics Part 1: Dissecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Redo Logs
  2. Oracle Forensics Part 2: Locating Dropped Objects
  3. Oracle Forensics Part 3: Isolating Evidence of Attacks Against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Mechanism
  4. Oracle Forensics Part 4: Live Response
I haven't read through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in detail yet, but it looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a ton of awesome information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 redo logs and recovering information that has been deleted (dropped) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database.

Monday, May 7, 2007

Virtual Address Descriptors (DFRWS 2007)

I've just had my first paper accepted to a conference! The paper, titled The VAD Tree: A Process-Eye View of Physical Memory, describes how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virtual Address Descriptor structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel to do a variety of nifty things, including list DLLs loaded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and categorize a process's memory allocations into shared regions, mapped files, and private allocations. I'll be presenting it at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th annual Digital Forensics Research Workshop in Pittsburgh this August.

Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abstract:
This paper describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virtual Address Descriptor (VAD) tree structure in Windows memory dumps to help guide forensic analysis of Windows memory. We describe how to locate and parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure, and show its value in breaking up physical memory into more manageable and semantically meaningful units than can be obtained by simply walking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page directory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Several tools to display information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VAD tree and dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory regions it describes will also be presented.


The tools mentioned above will be released shortly; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a small amount of cleanup I still need to do. I'll update this post with a link when that happens.

Last, but certainly not least, I want to take this opportunity to give heartfelt thanks to AAron Walters, who helped me out a ton by looking over my paper and giving suggestions. It's a much stronger and more technically interesting work as a result of his help. Also, thanks go out to Andy Bair, who got me interested in all this stuff in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.