auch den Speicherinhalt, was Spuren ver-
nichten könnte.
Der Ansatz, den Speicher im Labor abzu-
kühlen und in einem Spezialgerät auszu-
lesen [4], ist nicht praktikabel. Hat der
Rechner einen Firewire-Anschluss, ließe
sich eine Sicherheitslücke ausnutzen und
der Speicher über den Bus kopieren [5].
Das wird auch für Thunderbolt und PCIe
diskutiert, klappt allerdings unter Linux
noch nicht so recht [6],[7],[8].
Damit bleibt nur, doch eine Speicherver-
änderung in Kauf zu nehmen. Bei älteren
Linux-Versionen ging das recht simpel,
denn »dd« konnte »/dev/mem« lokal auf
USB-Sticks oder per »netcat« übers Netz-
werk kopieren. Neuere Distributionen
schränken die Leserechte allerdings er-
heblich ein, was aus Sicherheitssicht eine
gute Idee ist. Hier hilft beispielsweise der
Linux Memory Grabber [9] weiter.Abgegriffen
Das Skript »lmg« setzt voraus, dass ein
Linux-Rechner verfügbar ist, der ein
zum Zielsystem passendes Kernelmodul
kompilieren kann, erfordert also detail-
lierte Kenntnisse über das Ziel und einen
Rootaccount. In vielen Fällen müssen
Forensiker hier passen, es sei denn, ein
eigenes System ist betroffen. Dann hilft
die Anleitung unter [9] dabei, zu einem
Speicherabbild zu gelangen. Zwar ver-
ändert die Installation des Kernelmoduls
den Speicherinhalt des Zielsystems, und
»lmg« greift noch dazu auf Binarys des
Zielsystems zurück, was bei einem ge-
knackten System nicht ganz ohne ist,
doch dürfte es in den meisten Fällen die
einzige gangbare Lösung sein.
Wer bezüglich modifizierter Binarys be-
sonders vorsichtig sein will, könnte sieWer an IT-Forensik denkt, hat meist die
Analyse von nicht-flüchtigen Datenträ-
gern, wie Festplatten oder SSDs vor Au-
gen. Doch auch der flüchtige, also der
volatile, Arbeitsspeicher ist einen Blick
wert. Er enthält meist wichtige Spuren,
etwa zu Prozessen oder Netzwerkverbin-
dungen, und gibt so Hinweise auf einen
erfolgreichen Angriff.
Vor der eigentlichen Detektivarbeit steht
das Anfertigen eines RAM-Images. Die-
sen so genannten Memory Dump gilt es
dann zu analysieren. Mit Linux-Bordmit-
teln können Anwender bereits einigesherausfinden und lernen – allerdings ist
das auch recht zeitaufwändig. Unterstüt-
zung gibt es daher von Volatility [1]. Das
in Python geschriebene Framework iden-
tifiziert die wichtigsten Speicherstruktu-
ren eines Betriebssystems und bereitet
die Inhalte in für Menschen lesbarer
Form auf. Sein großes Plus sind die vielen
Plugins, welche die verschiedensten Ana-
lyse-Tätigkeiten unterstützen (Tabelle 1).Abgebildet
Der erste Schritt besteht im Erzeugen ei-
nes Speicherabbildes. Läuft das eventuell
kompromittierte System in einer virtuel-
len Maschine, kann der Virtual Machine
Manager einen Snapshot erstellen, den
geeignete Tools dann auseinanderneh-
men [2],[3]. Ein Bare-Metal-Linux stellt
Forensiker vor größere Herausforderun-
gen: Jede Änderung am System ändertWer nach einem Einbruch den Arbeitsspeicher eines Rechners untersuchen muss, darf sich der tatkräftigen
Unterstützung des Python-Framework Volatility versichern. Es analysiert wichtige Speicherstrukturen und hilft
dabei, die flüchtigen Spuren eines Angriffs zu lesen. Tobias EggendorferForensische Hauptspeichernalyse mit Volatility
Flüchtig
01 [DEFAULT]
02 PLUGIN=profiles/
03 LOCATION=file://AMF_MemorySamples/linux/
linux‑sample‑1.bin
04 PROFILE=Linuxbookx64Listing 1: »volatilityrc«Titelthema36
http://www.linux-magazin.deVolatility© Alexandr Ozerov, 123RF