Speicheranalyse

Nachdem der Arbeitsspeicher erfolgreich gesichert wurde, erfolgt im nächsten Schritt die externe Analyse. Bis vor ein paar Jahren bestand diese Analyse jedoch hauptsächlich aus der Suche nach verdächtigen Zeichenketten mithilfe von Werkzeugen wie »strings« . Mit diesem Problem beschäftigte sich erstmals die Forensic Challenge aus dem Digital Forensic Research Workshop 2008 [10] . Ziel dieser Challenge war es, vor allem die Entwicklung von Analysewerkzeugen für Linux zu fördern, mit denen es möglich ist, wichtige Informationen, die sonst nur auf einem noch laufenden System abrufbar sind, aus dem Speicherabbild zu extrahieren.

Eines der ersten Werkzeuge zur Speicheranalyse unter Linux war das Python-Skript Draugr [11] . Es erlaubt, den Arbeitsspeicher eines noch laufenden Systems direkt über das Pseudodevice »/dev/mem« zu untersuchen. Aber auch Speicherabbilder, die als Datei vorliegen, können mit Draugr analysiert werden. Ein Nachteil ist jedoch sein beschränkter Funktionsumfang, der sich auf das Auflisten von Prozessen sowie das Disassemblieren oder Extrahieren von bestimmten Speicherbereichen beschränkt. Seit 2009 wird Draugr nicht mehr weiterentwickelt.

Volatilitux

Ein weiteres Werkzeug zur Arbeitsspeicheranalyse ist Volatilitux [12] . Es galt lange Zeit als Linux-Äquivalent zu Volatility, als dieses nur die Analyse von Windows-Systemen unterstützte. Mittlerweile beherrscht auch Volatility die Speicheranalyse von Linux-Systemen, jedoch fehlen zwei wichtige Merkmale, die in Volatilitux bereits enthalten sind.

Eines dieser Merkmale ist die Fähigkeit Kernelstrukturen automatisch zu erkennen. Dadurch ist man nicht auf die vorherige Erzeugung eines Kernelprofils angewiesen. Bei manchen Speicherabbildern funktioniert die automatische Erkennung jedoch nicht zuverlässig. Für diesen Fall liegt Volatilitux ein Linux-Kernelmodul bei, mit dem eine Konfigurationsdatei erstellt werden kann. Diese Datei enthält Informationen zum Speicherlayout und muss bei jedem Aufruf mit angegeben werden.

Des Weiteren unterstützt Volatilitux bereits die Speicherabbilder von Systemen mit ARM-Architektur. Somit können neben den klassischen Rechnersystemen, auch mobile Geräte, wie zum Beispiel Android Smartphones analysiert werden. Dieser Punkt gewinnt immer mehr an Bedeutung, da die Entwicklung von Schadsoftware für mobile Endgeräte zugenommen hat [13] . Die Entwickler von LiME arbeiten bereits an einer Erweiterung, mit der man demnächst auch unter Volatility Speicherabbilder von Android-Geräten analysieren kann.

Zusätzlich zu den aus Draugr bekannten Funktionen kann man mit Volatilitux die geöffneten Dateien eines Prozesses anzeigen und extrahieren. Im Dezember letzten Jahres wurde zudem eine neue Version von Volatilitux veröffentlicht, mit der es nun auch möglich ist, 64-Bit-Systeme zu analysieren.