FATKit

Die kommende Ausgabe der Digital Investigation (Vol. 3, Ausgabe 4) wird einen sehr interessanten Aufsatz von Nick L.Petroni, AAron Walters, Timothy Fraser und William A. Arbaugh über ihr Speicheranalyse-Werkzeug FATKit enthalten. Eine Vorabversion des Beitrags ist auf der Website des FATKit-Projektes kostenlos erhältlich.

FATKit, der Name steht für Forensic Analysis Toolkit, ist ein Framework, mit dessen Hilfe sich Anwendungen zur Untersuchung von Arbeitsspeicherinhalten erstellen lassen. Die Sammlung von Programmbausteinen eröffnet dem Betrachter zahlreiche nach einem Schichtenmodell gegliederte Sichten auf die flüchtigen Daten - vom Abbild des physischen Arbeitsspeichers über den virtuellen Speicher eines Prozesses hin zu Datenstrukturen des Betriebssystemkerns.

FATKit basiert auf Profilen, die das zu untersuchende Betriebssystem beschreiben. Derartige Profile existieren bereits für mehrere Version von Microsoft Windows und Linux. Das Framework bietet die Möglichkeit, Profile automatisch aus einem C-Quellcode zu erzeugen. Offensichtlich bedeutet dies eine enorme Zeitersparnis für den Auswerter. Die Autoren nennen als Beispiel einige Zahlen für den Linux Kernel2.4.32. Sein Quellcode umfasst etwa 530.000 Zeilen. FATKit extrahiert daraus 1100 Strukturen, deren Beschreibung ca. 11.000 Zeilen benötigt.

Mir ist nicht bekannt, ob es eine ähnliche Funktionalität auch für closed-source Betriebssysteme wie Microsoft Windows gibt. Aber auch ohne Zugriff auf den Quellcode sollten sich dann Strukturdefinitionen aus Debug-Symbolen (PDB-Dateien) gewinnen lassen.

Meiner Meinung verfügt FATKit über das Potenzial, die Entwicklung technisch ausgefeilter und gleichzeitig benutzerfreundlicher Anwendungen zur Analyse von Speicherabbildern erheblich zu beschleunigen. Da bleibt nur zu hoffen, dass das Framework bald erhältlich sein wird.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12