Arbeitsspeicher Forensik

Forensische Auswertung flüchtiger Daten

Die digitale Forensik nutzt traditionell primär Datenspuren auf nicht-flüchtigen Datenträgern, wie Festplatten oder Flash-Speicher. Dieser Kurs konzentriert sich auf das Sammeln und Auswerten flüchtiger Daten von Windows- und Linuxsystemen.

Wir stellen leistungsstarke Open-Source Tools zum Erstellen und Auswerten von Speicherabbildern (memory dump) vor. Sie lernen anhand von praktischen Beispielen diese Tools zu nutzen.

Trainer und Dozenten

Hans-Peter Merkel (Dipl. Ing.) bildet seit vielen Jahren Strafverfolgungsbehörden in Deutschland und im Ausland aus. Er unterstützt Strafverfolgungsbehörden bei Durchsuchungen und führt zusammen mit ihnen die anschließende forensische Auswertungen durch. Sein Schwerpunkt liegt dabei auf der Auswertung von Linux/BSD Internet Servern.

Voraussetzungen

Teilnehmer sollten am Kurs digitale Forensik teilgenommen haben oder seine Inhalte kennen.

Inhalt

Installation einer forensischen Auswertestation

  • Volatility Framework zur Auswertung von Memory Dumps
  • Lime zur Erstellung von Memory Dumps unter Linux
  • Diverse Windows Tools zur Erstellung von Memory Dumps unter Windows (32bit, 64 bit)

Beispiele zur forensischen Auswertung von Memory Dumps

  • Vergleich Windows XP Clean und Windows XP infiziert mit Ghostnet Trojaner
  • Memory Dump Windows XP infiziert mit Stuxnet
  • Memory Dump Windows XP infiziert mit Zeus
  • Memory Dump Windows Vista /Win7
  • Memory Dump CentOS Linux
  • Memory Dump Debian Linux

Informationen aus dem Arbeitsspeicher rekonstruieren

  • Betriebssystemversion und Service Pack / Patchlevel
  • aktuelle Netzwerkverbindungen
  • Prozessliste
  • zu Prozess ID's gehörende DLL's / Libraries
  • Registry Dump diverser Hives u.a. zur Rekonstruktion von Login Informationen
  • Spurensuche in Beispielen mit Malware Dumps

Die Kursteilnehmer erhalten eine Live DVD um die erlernten Techniken auf einem eigenen PC nach dem Kurs im Büro erneut installieren zu können.