kann die Prüfung nicht mehr stören. So
erhöhen sich die Chancen, den Angreifer
zu entdecken. Ist ein suspekter Prozess
identifiziert, gibt »linux_proc_maps« den
Speicherinhalt zur besseren Analyse aus.Interpretations pflicht
Zum Nachweis von Nutzer-Fehlverhalten
eignet sich die Analyse der Bash-History
(Abbildung 3). Volatility entdeckt auchKommandos, wenn zum Vertuschen der
letzten Eingaben die Länge der History
auf 0 und ihr Speicherort nach »/dev/
null« verlegt wurde.
Die wahre Herausforderung beim Einsatz
von Volatility ist wie bei allen Analyse-
tools weniger der Einsatz der korrekten
Parameter – viel schwieriger ist es, die
Ausgaben des Programms richtig zu in-
terpretieren. Hier hilft nur Übung und
eine gute Kenntnis des Systems mit allen
seinen Datenstrukturen. (jk/ hej) nInfos
[1] Volatility:
[https:// http://www. volatilityfoundation. org]
[2] Volatility und VMware:
[https:// github. com/ volatilityfoundation/
volatility/ wiki/ VMware-Snapshot-File]
[3] Volatility und Virtualbox:
[https:// github. com/ volatilityfoundation/
volatility/ wiki/ Virtual-Box-Core-Dump]
[4] Sergei Skorobogatov, „Low temperature
data remanence in static RAM“:
[https:// http://www. cl. cam. ac. uk/ techreports/
UCAM-CL-TR-536. pdf]
[5] Michael Becher, Maximillian Dornseif,
Christian N. Klein, „FireWire, all your me-
mory are belong to us“:
[https:// cansecwest. com/ core05/
2005-firewire-cansecwest. pdf]
[6] Ulf Frisk, „DMA attacking over USB-C and
Thunderbolt 3“: [http:// blog. frizk. net/ 2016
/ 10/ dma-attacking-over-usb-c-and. html]
[7] Inception:
[https:// github. com/ carmaa/ inception]
[8] Joe FitzPatrick, Miles Crabill, „Stupid PCIe
Tricks featuring NSA Playset: PCIe“:
[https:// http://www. youtube. com/
watch? v=OD2Wxe4RLeU]
[9] Linux Memory Grabber:
[https:// github. com/ halpomeranz/ lmg]
[10] Tobias Eggendorfer, „Haltet den Dieb!“:
Linux-Magazin 10/ 15, S. 22
[11] Johannes Stuttgen, Michael Cohen, „Anti-
Forensic Resilient Memory Acquisition“:
[http:// dfrws. org/ sites/ default/ files/
session-files/ paper-anti-forensic_resili-
ent_memory_acquisition. pdf]
[12] Volatility-Profile für Linux:
[https:// github. com/ volatilityfoundation/
volatility/ wiki/ Linux]
[13] The Art of Memory Forensics:
[https:// http://www. memoryanalysis. net/ amf]
[14] Jürgen Quade, „Spitzel im Inneren“:
Linux-Magazin 10/ 12, S. 34einen Keymapper installiert hat. Volatility
ermittelt zudem die ARP-Table, offene
Netzwerkverbindungen, gemountete
Dateisysteme oder eingesetzte Kernelmo-
dule – es gibt für fast alles Plugins (Kom-
plettübersicht im Wiki über Github).
Warum sollte ein Admin also zu Volatility
greifen, wenn er auf der Suche nach Root-
kits ist, und nicht zu einem speziellen
Malware-Scanner, der die Festplatte ana-
lysiert? Ein Rootkit, dass im Speicher ist,
Abbildung 2: Hier scheint alles in Ordnung: Die Interrupt-Service-Routinen sind nicht umgeleitet.
Abbildung 3: Deutlich sichtbar: Hier hat der Forensiker das Speicherabbild mit »lime« gezogen.
39http://www.linux-magazin.deTitelthemaVolatility