Analyse des Linux-Hauptspeichers

Wie schon in den vergangenen Jahren, so wurde auch 2008 im Vorfeld des Digital Forensics Research Workshops wieder eine Aufgabe gestellt. Diesmal gilt es, das Arbeitsspeicherabbild eines Linux-Rechners zu untersuchen. Bereits jetzt, drei Wochen vor dem Workshop, wurden im Internet die ersten Ergebnisse veröffentlicht.

Die erste Lösung hat Nicolas Surribas in seinem Blog devloop veröffentlicht. Er untersucht das Dateisystem und ausgewählte Dateien, zum Beispiel den Cache und das Verlaufsprotokoll des Firefox, bevor er den Arbeitsspeicher betrachtet.

AAron Walters (Autor von Volatility) hat in Zusammenarbeit mit Michael Cohen und David Collett (Autoren von PyFlag) schwerpunktmäßig den Arbeitsspeicher untersucht. Hierzu haben sie zunächst das Red Hat crash utility entsprechend erweitert. Volatility, bislang auf die Analyse von Windows-Speicherabbildern beschränkt, wurde um die Datenstrukturen des Linux-Kernels erweitert. PyFlag baut darauf auf, so dass sich nun auch Prozesse unter Linux bequem in der grafischen Oberfläche von PyFlag betrachten lassen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12