Akquisition (1): dd
Die Sicherung volatiler Daten ist eine besondere Herausforderung in der Computer-Forensik. Unter Microsoft Windows ist die Kopie mit dd die einfachste Methode, den Arbeitsspeicher zu sichern. Es gibt nur einen kleinen Schönheitsfehler: Ab Windows Server 2003 SP1 funktioniert das nicht mehr.
Schön einfach war es, und zumindest unter Microsoft Windows 2000 hat es auch hervorragend funktioniert. Mittels dd lässt sich der Arbeitsspeicher bequem in eine Datei kopieren:
dd if=\\.\Device\PhysicalMemory of=memory.bin bs=4096
Mit Windows 2003 und auch der Vista Beta 1 (ex Longhorn) ist PhysicalMemory aus dem Userland nicht mehr lesbar. Wie ein Artikel im Microsoft TechNet bestätigt, haben nur noch Treiber im Kernelmode Zugriff auf das Gerät.
Vorteile der Sicherung mit dd sind:
- keine Installation von Software (Treiber!) erforderlich
- dd und oftmals auch das Speicherabbild passen auf einen USB-Stick
- einfachstes Dateiformat, physische Adressen entsprechen dem Offset im Abbild
- das System muss nicht angehalten werden
Nachteile gibt es natürlich auch:
- das System läuft während der Kopie weiter, das Abbild ist kein wirklicher Schanppschuß
- das Abbild kann nicht mit dem Microsoft Kernel-Debugger untersucht werden
- es gibt keine öffentlich verfügbaren Programme zur Auswertung des Speicherabbildes
- Administratorrechte sind erforderlich
Es gibt zahlreiche Portierungen des Unix-Dienstprogramms dd für Microsoft Windows. Die besten Ergebnisse bei der Sicherung des Arbeitsspeichers hatte ich mit den Forensic Acquisition Utilities von George M. Garner Jr.
