Warm-Boot-Angriff
Der Warm-Boot-Angriff bezeichnet eine forensische Technik, um den Inhalt des
Arbeitsspeichers (RAM) eines Computers zu sichern, indem das System gezielt
neu gestartet und anschließend mit einem speziell vorbereiteten Bootmedium
gestartet wird. Im Gegensatz zum Herunterfahren oder Ausschalten und Ausbau
der RAM-Riegel (vgl. „Kaltstartattacke“) bleibt die Stromversorgung des RAM
während des Reboots erhalten, sodass die flüchtigen Daten nicht sofort gelöscht
werden. Die Methode wird genutzt, um laufende Prozesse, Passwörter oder
andere relevante flüchtige Informationen vor der endgültigen Abschaltung zu
sichern.
Ein speziell vorbereitetes forensisches Live-System kann dann den
Arbeitsspeicher direkt auslesen und auf einen anderen Datenträger sichern.
Beispielszenario:
Ein IT-Forensiker entdeckt einen verdächtigen Rechner im eingeschalteten, aber gesperrten Zustand ohne Kenntniss des Passworts. Um Beweismittel im RAM zu sichern, startet er den Rechner gezielt mit einem präparierten USB-Stick neu, der ein GUI-loses Live-Linux mit dem Tool memdump enthält. Noch bevor das Betriebssystem oder Dienste gestartet werden, erstellt das Live-System ein vollständiges Speicherabbild und schreibt es auf ein externes Laufwerk. Dieses Abbild kann später mit Analysewerkzeugen wie Volatility ausgewertet werden, um Passwörter, Schlüssel oder Schadcode nachzuweisen.
