Die Sicherung des Arbeitsspeichers ist von enormer Bedeutung für die forensische Analyse. Sie ermöglicht die Sicherstellung von Passwörtern und Informationen zu aktuell laufenden Prozessen, aktiver Schadsoftware und Netzwerkverbindungen. In der heutigen Vorlesung diskutieren wir die Anforderungen und Methoden zur Sicherung des Arbeitsspeichers.
| Skript-Anfang | Kapitel 7 – Seite 113 |
|---|---|
| Skript-Ende | Kapitel 7 – Seite 132 |
RAM Sicherung
Welche Anforderungen werden an die RAM-Sicherung gestellt?
- Der komplette phyikalische Speicher muss enthalten sein (Vollständigkeit)
- Die Struktur des Arbeitsspeichers und seiner Daten muss erhalten bleiben (Strukturerhaltung)
- Unverändertheit im Hinblick auf einen gegebenen Zeitpunkt Τ (Integrität), der sich so nah wie möglich an der Beschlagnahme befindet
- Gesichertes Speicherabbild entspricht dem physischen Speicher (Korrektheit) und wurde nicht durch Soft- bzw. Malware manipuliert
- Sicherung geschieht in einer atomaren Leseoperation ohne Unterbrechung (Atomarität)
- Das System muss nicht speziell präpariert werden, damit der RAM gesichert werden kann (Verfügbarkeit)
Welche Methoden zur RAM-Sicherung gibt es?
- Cold Boot: Sehr hohe Atomarität, gute Verfügbarkeit
- Direct Memory Access (DMA) / FireWire: Hohe Atomarität, mittelmäßige Verfügbarkeit
- Software zur Sicherung mithilfe des Host-Betriebssystems im Kernel Mode: Hohe Atomarität, hohe Verfügbarkeit
- Suspend Mode: Legt hybernation-Datei hiberfil.sys (unter Windows) an