Nachweis einer Library Injection mit FATkit
In einem Aufsatz beschreibt AAron Walters die Anwendung des Forensic Analysis ToolKits. Nachgestellt wird dabei die Kompromittierung eines Systems unter Microsoft Windows 2000 mit dem Metasploit-Framework.
Der Aufsatz beschreibt die Rekonstruktion von Programmdateien beziehungsweise ihrer statischen Abschnitte. Hierzu erläutert er ausführlich und mit Hilfe einiger Grafiken die relevanten Datenstrukturen im Arbeitsspeicher.
Die Einschleusung maliziöser Programmbibliotheken (DLLs) in den Adressraum eines Prozesses wird durch zwei Untersuchungen nachgewiesen. Erstens werden Prüfsummen über die statischen Anteile der DLLs berechnet und mit Werten bekannter Dateien verglichen. Zweitens wird der Zeitpunkt des Ladens der DLL über der Basisadresse aufgetragen. Normale und maliziöse DLLs bilden in dieser Darstellung gut getrennte Gruppen.
