Memory Dumps mit VirtualBox

Posted on by
Reply

Ich war grad ein wenig am Rumspielen mit der forensischen Analyse von Hauptspeicher-Dumps. Dabei find ich es ganz praktisch, mit Dumps von virtuellen Maschinen zu arbeiten, weil man dann deutlich einfacher herumexperimentieren kann.

Die Standard-Methode um dann einen Hauptspeicher-Image zu erstellen, wäre dann wohl die Nutzung von win32dd (resp. win64dd). Allerdings ändert das natürlich wieder die RAM-Inhalte, wenn das Tool gestartet wird. Und warum sollte man das akzeptieren, wenn der ganze Server sowieso virtualisiert läuft?

Nach ein wenig Recherche bin ich auf diese großartige Seite von Philippe Teuwen gestoßen. Dort werden gleich 2 Methoden zur Erstellung von RAM-Images von VirtualBox-Servern beschrieben.

Die erste ist funktioniert über die Debug-Schnittstelle und muss über die Debug-Konsole aufgerufen werden. Vorteil hierbei ist, dass direkt ein rohes Speicherimage erstellt wird, dass mit bspw. volatility weiterverarbeitet werden kann. Nachteil ist, dass die virtuelle Maschine explizit im Debug-Modus gestartet sein muss. Ist das nicht der Fall, so ist ein Reboot notwendig. Zu beachten ist auch, dass bei Nutzung des .pgmphystofile-Befehls der anzugebende Dateiname keine Minus-Zeichen enthält, da sonst die etwas missverständliche Fehlermeldung erscheint, der Befehl sei noch nicht implementiert.

Die zweite Methode geht mit Hilfe des VBoxManage-Tools und dem dort enthaltenen debugvm-Befehl. Vorteil hierbei ist, dass dieser Befehl einfach auf beliebige laufende virtuelle Server angewandt werden kann. Nachteil ist, dass damit kein “rohes” Speicherimage erstellt wird, sondern neben dem Hauptspeicher weitere Informationen in der Datei abgelegt werden. Hierzu hat der Autor allerdings ein kleines Skript für volatility entwickelt, dass die Hauptspeicher-Informationen on-the-fly abgreifen kann.

Canon EOS 400D – Hacked Firmware Update

Posted on by
Reply

Nachdem meine Kamera von Canon nun schon ein paar Jährchen auf dem Buckel hat und es nicht mehr viel an Wert zu verlieren gibt, habe ich mich mal daran gewagt, eine gehackte Firmware einzuspielen – “400plus” heißt sie. Das war überhaupt kein Problem und hat prima funktioniert.

Es gibt zahlreiche neue bzw. erweiterte Funktionen. Für mich besonders interessant sind die folgenden:

  • Handwave – Der Entfernungssensor hinten an der Kamera – normalerweise genutzt um das Display abzuschalten, wenn man durch den Sucher schaut – kann genutzt werden, um Aktionen auszulösen. Beispielsweise kann man durch Vorbeiführen der Hand die Kamera auslösen, ohne sie berühren zu müssen.
  • Erweiterte Auswahl bei den Autofokus-Punkten – Statt nur die relativ eingeschränkten Einstellungen der Standard-Firmware lassen sich nun weitere Kombinationen von Autofokus-Punkten aktivieren.
  • Extended AEB – Es gibt mit dieser Funktion eine einfache Möglichkeit, um ein Dreier-Set von Fotos für die Erstellung von HDRs zu schießen. Dies lässt sich praktischerweise auch mit der Handwave-Funktion kombinieren.

Es gibt noch zahlreiche weitere Funktionen, die auf der Projekt-Homepage beschrieben sind. Hier sind die Links:

Installation Howto

Benutzeranleitung

Zu beachten ist, dass diese Firmware ausschließlich mit der 400D funktioniert. Für andere Canon-Modelle gibt es allerdings ähnliche Hacks.

Beim Herumexperimentieren ist mir auch noch aufgefallen, dass die “Handwave”-Funktion nur ausgelöst werden kann, sofern im Menü “LCD auto aus” nicht deaktiviert ist. Sonst kann man sich zu Tode winken, ohne dass etwas passiert…

Wie immer ist natürlich zu beachten, dass das Einspielen fremder Firmware wie dieses 400plus-Hacks auf eigene Gefahr geschieht und man damit vermutlich die Garantie/Gewährleistung verliert, wenn etwas kaputt geht.