Rubrik "Speicheranalyse"

Hashing von Programmdateien

BinHash von Chris Rohls berechnet die üblichen Prüfsummen wie MD5 und SHA-1 von Programmdateien in den Formaten ELF (Unix) und PE (Microsoft Windows). Im Gegensatz zu anderen Tools werden die Summen jedoch nicht über die ganze Datei, sondern für jeden Abschnitt gesondert berechnet und angezeigt. Der Autor nutzt es für den Vergleich von Schadsoftware, ich hatte derartiges für Zwecke der Speicheranalyse vorgeschlagen. 14.12.2011: Eine Kopie des Beitrags gibt es im Web Archiv.

Folien meines IMF-Workshops

Hier sind nun die Folien meines Workshops zu Werkzeugen und Verfahren der Analyse von Windows-Speicherabbildern, den ich kürzlich auf der 3rd International Conference on Incident Management and IT Forensics in Stuttgart gehalten habe.

Von Volatools zu Volatility

Es gibt ein neues Tool für die Analyse von Windows-Speicherabbildern: Volatility. Auf den ersten Blick erinnert es an Volatools, und doch ist vieles neu.

DMP Magic

Dieser kurze Beitrag enthält wieder eine Ergänzung für die Datei magic(5), mit deren Hilfe das Dienstprogramm file(1) Speicherabbilder im Microsoft Crashdump-Format identifizieren kann. Auf diese Weise lässt sich auch leicht erkennen, ob die Datei pagefile.sys ein Speicherabbild enthält.

Spickzettel für die Speicheranalyse

Für meinen Vortrag auf der FIRST Conference 2007 habe ich einen kleinen Spickzettel für die Analyse des Arbeitsspeichers von Microsoft Windows XP SP2 angefertigt. Die vier Seiten enthalten in Kurzform die wichtigsten Kommandos des Microsoft-Debuggers und einiger Forensik-Programme sowie Datenstrukturen und Variablennamen. Der Spickzettel ist hier als PDF erhältlich.

Kopien von Page Directories

Wie bereits gezeigt identifiziert eine Suche auf der Basis von Ähnlichkeiten im oberen Teil von Page Directories zu vielen falschen Treffern. In diesem Beitrag werde ich diese Doppelgänger von Page Directories näher betrachten.

Auswertung der Virtual Address Descriptors

Microsoft Windows beschreibt die Nutzung des virtuellen Adressraums eines Prozesses mit Hilfe von Virtual Address Descriptors (VAD). Jeder VAD markiert dabei einen zusammenhängenden Adressbereich. Die einzelnen VAD werden in einem ausgeglichenen Baum angeordnet, um einen schnelles Auffinden zu ermöglichen. Die _EPROCESS-Struktur verweist schließlich auf die Wurzel des Baums. Ein Nachbilden der Baumstruktur ermöglicht es, den Adressraum eines Prozesses mitsamt der in den Speicher abgebildeten Dateien zu rekonstruieren. Brendan Dolan-Gavitt wird hierüber auf dem DFRWS 2007 sprechen. Bereits jetzt hat er seine vadtools, einen Satz von Werkzeugen veröffentlicht, die seinen Beitrag ergänzen.

Suche nach Page Directories (2)

Microsoft Windows teilt den Adressraum eines Prozesses in zwei Teile: die unteren 2 GiB des virtuellen Speichers sind für das Userland, die oberen 2 GiB sind für den Betriebssystemkern reserviert (wie gewöhnlich unterstelle ich hier eine 32Bit-Plattform und einen Systemstart ohne besondere Optionen). In diesem Beitrag beschreibe ich, wie sich diese Aufteilung des Adressraums nutzen lässt, um Page Directories zu finden.

Suche nach Page Directories (1)

Werkzeuge wie der Microsoft Debugger oder PTFinder identifizieren Prozesse und zeigen zusätzlich die Page Directory Base Address an, weil diese Information der Ausgangspunkt zur Rekonstruktion des virtuellen Adressraums ist. Ich habe eine Weile darüber nachgedacht, dieses Verfahren umzukehren, d.h. in einem Speicherabbild zunächst nach Page Directories zu suchen und darüber dann den jeweiligen Prozess ausfindig zu machen. In diesem Artikel beschreibe ich eine einfache und elegante Methode zur Identifizierung von Page Directories, die darauf beruht, dass Page Directories auf sich selbst zurückweisen.

Prozesse finden mit XMagic

Brendan Dolan-Gavitt wies mich auf seine Sammlung von XMagic-Suchmustern hin. Mit diesen Ausdrücken und einer Konfigurationsdatei (Brendan liefert ein Beispiel) kann man mit Hilfe von FTimes Informationen über Prozesse aus einem Speicherabbild gewinnen.

 1 2 3 4 5 6 7 8 9 10 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12