Memory Forensics

Memory Forensics bzw. Speicherforensik, u.a. auch als Speicheranalyse bezeichnet, bezieht sich auf die Analyse flüchtiger Daten aus dem Speicher eines Computersystems.

Flüchtige Daten sind Daten, die während der Ausführung im temporären Speicher eines Computers gespeichert werden. Diese flüchtigen Daten befinden sich im Kurzzeitspeicher (RAM) eines Computers und können Daten wie Browserverlauf, Chat-Nachrichten und Inhalte der Zwischenablage enthalten. Sobald der Computer ausgeschaltet oder von der Stromversorgung getrennt wird, gehen flüchtige Daten - ohne spezielle Maßnahmen, wie der Tieftemperaturkühlung des RAM-Speichers - nahezu sofort verloren. Wenn das System neu gestartet wird, werden diese Informationen aus dem Systemspeicher ebenso gelöscht. Speicherforensik ist daher als zeitkritisch einzustufen. Jedes Programm muss zur Ausführung in den RAM-Speicher des Computersystems geladen werden. Die Speicherforensik bietet somit einzigartige Einblicke in die Laufzeitsystemaktivität, einschließlich der Netzwerkverbindungen, zeitnah ausgeführter Befehle oder Prozesse. Insbesondere kritische Daten sind systembedingt während der Ausführung im RAM-Speicher vorhanden. Beispiele hierfür sind Netzwerkverbindungen, Kontoanmeldeinformationen, Chat-Nachrichten, Verschlüsselungsschlüssel, laufende Prozesse, injizierte Codefragmente und Inhalte der Zwischenablage. Dieser sogenannte Speicherauszug (Core-Dump oder System-Dump) ist somit eine Momentaufnahme der flüchtigen Speicherdaten ab einem bestimmten Zeitpunkt. Dieser Speicherauszug kann wertvolle forensische Daten über den Status des Computersystems vor einem Vorfall (z.B. Absturz) enthalten. Durch die Analyse des Speicherabbildes kann die Ursache eines Vorfalls und andere wichtige Details zu den Ereignissen ermittelt werden.

Daher ist die Speicherforensik für die Identifizierung ansonsten verschleierter Angriffe von entscheidender Bedeutung. Speicherforensik wird durchgeführt um Angriffe oder böswillige Verhaltensweisen auf Computersystemen untersuchen und zu identifizieren, die keine leicht erkennbaren Spuren auf Festplattendaten hinterlassen. Die Hauptanwendung ist die Untersuchung fortgeschrittener Computerangriffe, die so unbemerkt durchgeführt werden, dass keine Daten auf der Festplatte des Computers verbleiben. Folglich muss der Speicher (RAM) auf forensische Informationen analysiert werden. Im Gegensatz dazu kann die Festplattenforensik eher als Post-Mortem Untersuchung von Ereignissen angesehen werden, die sich bereits ereignet haben. Diese Anforderungen der Analyse müssen grundlegend vom forensischen Ermittler berücksichtigt werden. Abhängig von der Art der Untersuchung können unterschiedlichen Techniken und Werkzeuge verwendet werden, um weitere Informationen über das betreffende System zu erhalten.