Speicheranalyse mit FTK 3

Vor vier Jahren, auf dem DFRWS 2005, wurden die ersten Werkzeuge zur Windows-Speicheranalyse präsentiert. Langsam finden die seitdem entwickelten Methoden Eingang in kommerzielle Werkzeuge. Auch das kürzlich von AccessData öffentlich vorgestellte Forensic Toolkit 3 bietet jetzt einige Funktionen zur Untersuchung von Windows-Speicherabbildern.

Im Hauptbildschirm des neuen FTK3 fällt schnell ein neuer Reiter auf: "Volatile" heißt es da. Dahinter verbergen sich die neuen Funktionen zur Untersuchung von Speicherabbildern.

Die Registertasten im neuen FTK3

FTK3 zeigt Prozesse, Netzwerk-Sockets, in den Speicher geladene Programmbibliotheken (DLL) und Handles. Letztere lassen auf geöffnete Dateien ebenso schließen wie auf aktive Threads eines Prozesses.

Für einen ersten Test lasse ich FTK3 ein Speicherabbild untersuchen, in dem ein Netcat-Listener mit dem FUto-Rootkit versteckt wurde. Der Listener und sein Socket werden sofort erkannt. Ich vermisse allerdings einen Hinweis auf die manipulierten Datenstrukturen.

Leider steht FTK3 mit diesen Funktionen aber noch weit hinter dem Stand der Forschung zurück. Manipulationen an der Registry im Arbeitsspeicher, in den Kernel geladene Module und maliziöse Aktivitäten bleiben so meist unerkannt.

Interessant könnte eine Funktion zum Vergleich zweier Speicherabbilder sein. Genauere Tests werden zeigen, ob sich mit dieser Funktion Veränderungen am ausgeführten Kernel und der Systemkonfiguration erkennen lassen.

Speicheranalyse mit dem FTK3 (für Vollbild bitte klicken)

Ich freue mich über die Entscheidung von AccessData, Funktionen zur Speicheranalyse in die Oberfläche von FTK zu integrieren. Dies wird hoffentlich vielen neuen Anwendern einen Zugang zu den Methoden der Speicheranalyse erleichtern.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12