for(ensik){blog;}

Zur Auswertung der Abbilder beschreibt er unter anderem die frei verfügbaren Tools PTFinderFE von Richard McQuown, das Harlan Carveys Skript kern.pl zur Bestimmung der Kernelversion und den PTFinder unter einer graphischen Oberfläche zusammenfasst.

Zum Schluß betrachtet der Artikel noch kurz den Stand der Technik bei den Rootkits. Wer sich bei der Analyse eines Speicherabbildes nicht täuschen lassen möchte, der sollte sich auch mit den Techniken der Gegenseite auskennen. Eine intime Kenntnis der Datenstrukturen und Mechanismen des Windows-Kernels ist für mich ohnehin die Grundvoraussetzung für den erfolgreichen Einsatz der Tools.

Bei den frei verfügbaren Werkzeugen handelt es sich in der Regel um Machbarkeitsstudien. Der Code enthält meist nur die nötigste Funktionalität. Oftmals ist ein Tool nur für eine bestimmte Windows-Version geeignet, für andere Versionen oder Service-Packs muss der Anwender selbst Anpassungen vornehmen.

Ergonomie ist derzeit von untergeordnetem Interesse - und darüber hinaus ein relativer Begriff: Wer seine Untersuchungen gewöhnlich mit einem Hexeditor und einem Debugger anstellt, für den bietet bereits ein Perl-Skript mit dutzenden von Schaltern und Optionen bereits eine erhebliche Arbeitserleichterung.

Ich hoffe, dass durch die Artikel von Herrn Geschonneck in der iX und jetzt auch in der weiter verbreiteten c't das Interesse für die Speicheranalyse geweckt wird. Wie mir erst kürzlich ein Hersteller forensischer Software mitteilte, ist die Produktion von Hilfsmitteln zur Speicheranalyse für ihn derzeit aus wirtschaftlichen Erwägungen nicht interessant. Leistungsfähige und ergonomische Tools wird es deshalb erst dann geben, wenn ein breites Interesse an dieser noch sehr jungen Analysetechnik erwächst - und in eine deutliche Nachfrage übergeht.