Papers I've Published

Process Dump Analyses — Forensical Acquisition and Analyses of Volatile Data

Language: English — Version: 1.0 (22 July 2006).

Abstract: There is a general lack of techniques and tools today which can be used to assist the acquisition as well as the analyses of volatile data, like the main memory or the running processes of a live system. This paper discusses some new techniques and tools that can be used to acquire and analyse process dumps of Windows and Linux operating systems in a forensical manner. As an example the introduced tools are used to analyse and reconstruct (remote) code injection attacks, that are using anti-forensic techniques to circumvent classical post-mortem analyses.


All Your Private Keys are Belong to Us — Extracting RSA Private Keys and Certificates from Process Memory

Language: English — Version: 1.0 (5 February 2006).

Abstract: This paper discusses a reliable method to find and extract RSA private keys and certificates from process memory. This method can be used by an attacker to steal sensitive cryptographic material. As a proof of concept an IDA Pro plugin as well as an exploit payload will be discussed.

Stack Smashing Protector

Language: German — Version: 1.0 (4 October 2003).

Abstract: Es gibt eine Reihe von Compiler-Erweiterungen, die das Ziel verfolgen, die Ausnutzung stackbasierter Buffer-Overflow-Schwachstellen zu erschweren. Der Stack Smashing Protector (SSP) a.k.a. ProPolice stellt dabei eine der vielversprechendsten Implementationen dieser Art dar. In diesem Paper werden die einzelnen verwirklichten Schutzkonzepte von SSP beschrieben und anschließend hinsichtlich eventueller Schwächen untersucht.

GCC 3.x Stack Layout — Auswirkungen auf stackbasierte Exploit-Techniken

Language: German — Version: 1.0 (30 August 2003).

Abstract: Eine spezielle Eigenschaft des GNU C Compilers (GCC) der Version 3.x wirkt sich mitunter äußerst gravierend auf die Ausnutzung stackbasierter Buffer-Overflow-Schwachstellen aus. Innerhalb dieses Papers werden die Ursache, sowie die sich aufgrund dieses GCC-Verhaltens ergebenden Auswirkungen, einer näheren Betrachtung unterzogen.