Home - Blog - Advisories - Research - Papers - Books - Presentations - Tools - About

Process Dump Analyses - Forensical Acquisition and Analyses of Volatile Data

There is a general lack of techniques and tools today which can be used to assist the acquisition as well as the analyses of volatile data, like the main memory or the running processes of a live system. This paper discusses some new techniques and tools that can be used to acquire and analyse process dumps of Windows and Linux operating systems in a forensical manner. As an example the introduced tools are used to analyse and reconstruct (remote) code injection attacks, that are using anti-forensic techniques to circumvent classical post-mortem analyses.

Download:

Language: English
Version: 1.0 (22-Jul-2006)

All Your Private Keys are Belong to Us - Extracting RSA Private Keys and Certificates from Process Memory

This paper discusses a reliable method to find and extract RSA private keys and certificates from process memory. This method can be used by an attacker to steal sensitive cryptographic material. As a proof of concept an IDA Pro plugin as well as an exploit payload will be discussed.

Download:

Language: English
Version: 1.0 (05-Feb-2006)

Stack Smashing Protector

Es gibt eine Reihe von Compiler-Erweiterungen, die das Ziel verfolgen, die Ausnutzung stackbasierter Buffer-Overflow-Schwachstellen zu erschweren. Der Stack Smashing Protector (SSP) a.k.a. ProPolice stellt dabei eine der vielversprechendsten Implementationen dieser Art dar. In diesem Paper werden die einzelnen verwirklichten Schutzkonzepte von SSP beschrieben und anschließend hinsichtlich eventueller Schwächen untersucht.

Download:

Language: German
Version: 1.0 (04-Oct-2003)

GCC 3.x Stack Layout - Auswirkungen auf stackbasierte Exploit-Techniken

Eine spezielle Eigenschaft des GNU C Compilers (GCC) der Version 3.x wirkt sich mitunter äußerst gravierend auf die Ausnutzung stackbasierter Buffer-Overflow-Schwachstellen aus. Innerhalb dieses Papers werden die Ursache, sowie die sich aufgrund dieses GCC-Verhaltens ergebenden Auswirkungen, einer näheren Betrachtung unterzogen.

Download:

Language: German
Version: 1.0 (30-Aug-2003)

:: Copyright (c) 2000-2012 Tobias Klein. All rights reserved. ::