Martin Reuter
Master Thesis, Hochschule Wismar, September 2020
Author: Martin Reuter
Titel: Möglichkeiten zum Einsatz von Event Tracing for Windows (ETW) zur Unterstützung forensischer Analysen von Prozessverhalten in Windows 10
Abstrakt:
Die Master-Thesis gibt einen Überblick über die Möglichkeiten zum Einsatz von Event Tracing for Windows (ETW) zur Unterstützung forensischer Analysen von Prozessverhalten in Windows 10
Es wird der Aufbau und die Funktionsweise von ETW mit ihren Schnittstellen betrachtet und die Programmierschnittstelle verwendet, um von ETW-Providern gelieferte Events in einer Analysesitzung aufzuzeichnen. Die aufgezeichneten Events werden einem zu analysierenden Prozess zugeordnet und zur Bestimmung von Prozessverhaltensweisen ausgewertet. Hierbei lassen sich neben den bereits in anderen Forschungsarbeiten und Projekten gesammelten Erkenntnisse heranziehen, um (weitere) forensisch relevante ETW-Provider zu identifizieren. Durch den Einsatz von ETW wird eine Verhaltensanalyse von Prozessen, wie beispielsweise einer ausgeführten Malware, ermöglicht. Die bezogenen Informationen werden dabei ausschließlich aus den bereitgestellten Systemschnittstellen des Betriebssystems Windows 10 gewonnen, sodass keine zusätzlichen Komponenten, wie Kernel-Mode Treiber, implementiert werden müssen.
Abstract:
This Master-Thesis gives an overview of using Event Tracing for Windows (ETW) to assist the forensic analysis of process behaviour in Windows 10.
Architecture and functionality of ETW and its interfaces are being examined to capture events delivered by any ETW-Provider to an analysis ETW-Session. The captured events are used to determine the specific behaviour of an observed process. Previous research findings and already existing projects on ETW provide a solid basis to determine further ETW-Providers, which can assist forensic analysis. ETW offers the opportunity to analyse process behaviour, i.e. of malware processes, by capturing data that is provided from Windows 10 itself. By using ETW as a forensic data source for gathering information on process behavior, there is no requirement for implementing additionally components, i.e. Kernel-Mode drivers.
