100 Tricks und Tools moderner Computerforensik – und alles Open Source! Unser neues Computerforensik-Buch zeigt in detailliert beschriebenen Hacks die State-of-the-Art-Ansätze der modernen Computerforensik – von der Sicherung und Wiederherstellung von Daten und Spuren bis zur Diagnose typischer Angriffszenarien. Drei Hacks veröffentlichen wir hier im oreillyblog – los geht es mit Hack #3 :
Bevor es zu spät ist – RAM sichern
Sie haben sich schon immer gefragt, wie Sie Daten retten können, die sich gar nicht auf der Festplatte Ihres Computers befinden? Vielleicht möchten Sie auch gern Schadsoftware untersuchen, die sich in Bereichen außerhalb Ihrer Festplatte versteckt? Dann sind Sie hier goldrichtig, denn im Folgenden zeigen wir Ihnen, wie Sie Ihren Random Access Memory (RAM), landläufig auch „Arbeitsspeicher“ genannt, sichern können. Die Bezeichnung Arbeitsspeicher ist übrigens sehr treffend, denn mit den Daten, die sich an diesem Speicherort befinden, wird in der Regel ständig gearbeitet. Sie werden geschrieben, gelesen, bewegt und überschrieben, und sie sind diejenigen Daten, die am empfänglichsten für Veränderungen sind.
Egal, welche Daten bei der Nutzung des PCs im Arbeitsspeicher entstanden sind – sobald Sie Ihren Computer ausschalten, vergisst der RAM innerhalb weniger Sekunden bis Minuten seine Inhalte. Daten im Arbeitsspeicher unterliegen also nicht nur einer starken Fluktuation, sondern auch einer hohen Flüchtigkeit – man spricht hier auch von Volatilität. Das Besondere an den Daten im Arbeitsspeicher ist, dass sie sogar solche Daten beinhalten, die der Nutzer vielleicht nie auf seinem PC abspeichern wollte und denen er daher nie einen Speicherplatz auf der Festplatte zugewiesen hat. Wenn Sie beispielsweise gerade eine E-Mail, eine Chatnachricht oder ein Textdokument verfassen, ist die Wahrscheinlichkeit sehr hoch, Fragmente des Texts im Arbeitsspeicher Ihres Computers zu finden, obwohl Sie sie nie als Datei gespeichert haben.
Die genannten Eigenschaften des Arbeits speichers machen ihn für die Forensik natürlich besonders interessant, stellen den Forensiker jedoch vor neue Herausforderungen. So interessant die Daten im Arbeitsspeicher auch sein mögen: Die Gefahr, sie zu verlieren oder unbeabsichtigt zu überschreiben, ist erheblich höher als bei herkömmlichen Datenträgern. Das sollten Sie nicht nur bei Wahl des richtigen Sicherungsto ols, sondern auch beim Sicherungsvorgang selbst beachten.
Unter Windows haben sich folgende Softwarelösungen zur Sicherung des Arbeitsspeichers etabliert:
- Win32dd.exe und Win64dd.exe, enthalten im MoonSols Windows Memory Toolkit; die Community Edition ist kostenfrei zu haben.
- Winen.exe und Winen64.exe, enthalten in der kommerziellen Forensik-Software EnCase ab Version 6.11 .
- Mdd.exe, auch ManTech Memory DD genannt, von der ManTech International Corporation; Open Source-Software.
- FTK Imager, Freeware.
Bevor Sie eines dieser Tools anwenden, denken Sie daran, dass Sie durch Ihre Aktionen einen Teil des Arbeitsspeichers überschreiben werden. Deshalb wollen Sie den „Schaden“ vermutlich so gering wie möglich halten. Die Tools Win32/64dd.exe und Winen/64.exe haben in unseren Tests die geringsten Auswirkungen auf RAM-Inhalte aufgewiesen, daher werden wir Ihnen das Vorgehen mit diesen Programmen näher beschreiben.
Mit Win32dd.exe oder Win64dd.exe (für 64-Bit Systeme) sichern Sie den Arbeitsspeicher durch Aufruf von
win32dd.exe /r /f ram.dd
Möchten Sie statt eines Raw-Image eine Sicherung des RAM im Crashdump-Format auf eine Netzwerkressource, dann führt Sie der folgende Befehl zum Ziel
win32dd.de /d /f \\server\ram.dmp
Wenn Sie nicht genau wissen, ob Sie auf einem 32- oder 64-Bit-Betriebssystem den RAM sichern, sollten Sie einen Blick auf das freie Zusatzprogramm DumpIt werfen. Es vereint win32dd.exe und win64dd.exe in einer einzigen Datei und findet selbstständig heraus, ob es auf einer 32- oder 64-Bit-Plattform läuft. Sie erhalten DumpIt unter http://www.forensikhacks.de/dumpit.
Die Benutzung von winen.exe und winen64.exe ist ähnlich simpel. Starten Sie auf der Kommandozeile das Programm ohne Parameter, erscheinen einige Abfragen, in denen Sie Informationen zum Image eingeben können. Wenn Sie allerdings öfter RAM sichern, möchten Sie sich die ständige Neueingabe aller Informationen vielleicht ersparen. Dafür bietet Winen die Möglichkeit, auf zuvor angelegte Konfigurationsdateien zurückzugreifen:
winen.exe –f meine.config
Zu guter Letzt ist auch mit mdd.exe ein Abbild Ihres Arbeitsspeichers schnell und einfach erstellt. Führen Sie den folgenden Befehl aus:
mdd_1.3.exe –o ram.dd
Natürlich können Sie auch unter Linux und MAC den RAM sichern. Unter Linux war es bei älteren Kernels möglich, direkt auf das RAM-Device zuzugreifen und mit folgendem Befehl eine Sicherung zu erstellen:
dd if=/dev/mem of=ram.dd
Die neueren Kernels verbieten aus Sicherheitsgründen diesen direkten Zugriff. Eine Umgehung dieses Problems ist mit fmem möglich.
Für MAC gibt es den Mac Memory Reader als Lösung. Diesen können Sie wie folgt aufrufen:
sudo ./MacMemoryReader /Volumes/STORAGE/ram.mach-o
Beim nächsten Mal lesen Sie Hack #47: Die Registry-Top-Ten – und außerdem gibt es die Autoren bald im Gespräch mit Tim Pritlove in unserem Podcast „Kolophon“!
1 Kommentare