Thomas Schmalz
Bachelor Thesis, Hochschule Wismar, April 2019
Autor: Thomas Schmalz
Titel: Aufdeckung von Malware in RAM-Speichern durch Daten-Transformation und Visualisierung
Abstrakt: Die Bedeutung von Hauptspeicherinhalten in IT-forensischen Untersuchungen hat in den letzten Jahren an Bedeutung gewonnen. Zum einen durch das Anwachsen der im RAM gespeicherten Datenmengen und zum anderen durch die Erkenntnis, dass die Inhalte von RAM-Speichern einen wertvollen Beitrag einer Untersuchung liefern können. Mit frei verfügbaren Tools wie z.B. Volatility oder Rekall können aus einem Speicherabbild wichtige Informationen gewonnen werden. Durch die Anwendung unterschiedlicher Plugins dieser Tools wird jedoch immer nur ein Teilaspekt beleuchtet. Eine Detektion von Malware in Hauptspeicherinhalten erfordert dadurch sehr spezifische Kenntnisse der Tools und es können wichtige Details und Zusammenhänge übersehen werden. Durch die Zusammenführung der einzelnen Ergebnisse und die Überführung in eine Datenbank soll die Möglichkeit geschaffen werden die Daten abfragbar zu machen und sie in eine Relation zueinander zu setzen. Das Konzept der Bachelor-Arbeit besteht darin, die durch die Kommandozeilen-Tools gewonnenen Informationen in eine Datenbank zu transformieren und die Abfrageergebnisse zu visualisieren. Um diese Aufgabe möglichst zu automatisieren wurde das Konzept in Form einer web-basierten Software umgesetzt. Die durch Rekall gewonnenen Daten werden dabei in eine Graph-Datenbank (neo4j) importiert und können anschließend mit Cypher abgefragt werden. Die Darstellung der Abfrageergebnisse kann als Graph erfolgen. Abfragen mit vordefinierten Mustern von bekannter Malware sind auf den Graphen möglich.