Ute Schüller: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Master Thesis, Hochschule Wismar, September 2019 Autor: Ute Schüller Titel: Capabilities of Live/Memory-Forensics on Compartmentalized Systems Using Bromium…“)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Master Thesis, Hochschule Wismar, September 2019
Master Thesis, Hochschule Wismar, September 2019


Autor: Ute Schüller
Author: Ute Schüller


Titel: Capabilities of Live/Memory-Forensics on Compartmentalized Systems Using Bromium, Qubes and Proxmox as Examples
Title: Capabilities of Live/Memory-Forensics on Compartmentalized Systems Using Bromium, Qubes and Proxmox as Examples


Abstrakt: With the constantly increasing digitalization of daily life, there is also a rising number of attacks,
Abstract: With the constantly increasing digitalization of daily life, there is also a rising number of attacks,
against private as well as company computers. One of the options to reduce those risks, is the
against private as well as company computers. One of the options to reduce those risks, is the
usage of operating systems or software, that provide compartments (aka. sandboxes or
usage of operating systems or software, that provide compartments (aka. sandboxes or
Zeile 20: Zeile 20:
implemented, for later IT-forensic investigation.
implemented, for later IT-forensic investigation.


In GERMAN:
Autor: Ute Schüller
 
Titel: Möglichkeiten der Live/Memory-Forensik auf kompartimentierten Systeme am
Titel: Möglichkeiten der Live/Memory-Forensik auf kompartimentierten Systeme am
Beispiel von Bromium, Qubes und Proxmox
Beispiel von Bromium, Qubes und Proxmox

Version vom 25. September 2019, 08:56 Uhr

Master Thesis, Hochschule Wismar, September 2019

Author: Ute Schüller

Title: Capabilities of Live/Memory-Forensics on Compartmentalized Systems Using Bromium, Qubes and Proxmox as Examples

Abstract: With the constantly increasing digitalization of daily life, there is also a rising number of attacks, against private as well as company computers. One of the options to reduce those risks, is the usage of operating systems or software, that provide compartments (aka. sandboxes or containers), when working on a network-connected computer. Despite the reduced risks, sometimes the need for live/memory-forensics arises on those systems, as well. How to perform such an analysis, is well-documented for e.g. VMware; nevertheless, for Bromium, Qubes and Proxmox, there is not much literature available. Consequently, the aim of this master thesis is to investigate the available options for those 3 operating systems. On one Hand, this includes examining the systems for already present IT-forensic capabilities, and, on the other hand, investigating additional possibilities to collect live/memory forensic data, that can be gathered, using freely available software like Rekall or Proxmox. Additionally, commercial software (Axiom, EnCase, X-Ways and Nuix) should be looked at, to find out, which possibilities are available, within those programs. Finally, if possible, a half-automated data collection on Qubes should be implemented, for later IT-forensic investigation.

Autor: Ute Schüller

Titel: Möglichkeiten der Live/Memory-Forensik auf kompartimentierten Systeme am Beispiel von Bromium, Qubes und Proxmox

Abstrakt: Mit der stetig wachsenden Digitalisierung des täglichen Lebens, wächst auch die Anzahl der Angriffe auf private, wie auch auf Firmen-Computer. Eine der Möglichkeiten den entsprechenden Risiken entgegenzuwirken, ist die Nutzung von Betriebssystemen oder Software, die Kompartimente (bzw. Sandboxen oder Container) zur Verfügung stellen. Trotz der geringeren Risiken besteht auch auf solchen Systemen immer wieder die Notwendigkeit zur Live-/Memory- Forensik. Diese ist z.B. für VMware recht gut dokumentiert, jedoch gibt es wenig entsprechende Literatur zu Bromium, Qubes und Proxmox. Daher ist es das Ziel dieser Masterarbeit, die Live/Memory-forensischen Möglichkeiten auf diesen drei Betriebssystemen zu untersuchen. Einerseits sollen dabei die bereits vorhandenen Analyse- bzw. Auswertungsmöglichkeiten der Systeme betrachtet werden und andererseits, welche weiteren Möglichkeiten sich bei Nutzung von frei verfügbarer Software wie Rekall und Volatility ergeben. Zusätzlich soll betrachtet werden inwieweit kommerzielle Software, wie Axiom, EnCase, X-Ways und Nuix für eine entsprechende Untersuchung in Frage kommen. Darüber hinaus, sollte möglichst eine halb-automatisierte Datensammlung in Qubes implementiert werden, die dann für spätere IT-forensischen Untersuchungen genutzt werden kann.

Download PDF-Dokument