Forensische RAM-Image Analyse mit Volatility
Klassische Methoden und Techniken der Computer-Forensik, wie die Analyse forensischer Datenträgerkopien, sind heute oft nicht mehr ausreichend, um fortgeschrittene Angriffe auf IT-Systeme nachzuweisen. Oft kann erst die digitale Spurensuche direkt im Arbeitsspeicher eines Systems die entscheidenden Erkenntnisse für die Aufklärung des Sachverhaltes liefern. Bei der Sicherheitsvorfallbehandlung ist es sehr wichtig, dass man sich sowohl technisch als auch organisatorisch nicht unvorbereitet in einer Situation wiederfindet, in der man unter Zeitdruck ohne Expertenhilfe und ohne passende Werkzeuge auf eine Ausnahmesituation reagieren muss. Das rechtzeitige Erstellen eines entsprechenden Plans sowie das Zusammenstellen und gründliche Ausprobieren aller Tools sind Voraussetzung für eine erfolgreiche Beweissicherung und Basis für weitere Ermittlungen. Außerdem sollte man tunlichst darauf achten, alle Tätigkeiten und Erkenntnisse schlüssig und nachvollziehbar zu dokumentieren.
Wie Sie bei einer RAM-Image Analyse mit Volatility vorgehen sollten, zeigt dieser Kurs. Es werden alle Befehle und deren Möglichkeiten in Detail vorgestellt und von
den Teilnehmern in vielen praktischen Übungen selber angewendet.
Wie Sie ein RAM Image erstellen und wie Sie dann das Volatility Framework auf der Suche nach Malware einsetzen können, wie Sie Programme im RAM-Image extrahieren und untersuchen können, wird von
Grund auf erklärt. Entsprechende Grundlagen werden im theoretischen Teil vermittelt.
Wenn Sie diesen Kurs erfolgreich abgeschlossen haben, finden Sie alle Geheimnisse eines RAM-Images! Fragen wie: Könnten diese Daten durch ein Fremd-/Schadprogamm auf den Rechner gekommen
sein?, können Sie in Zukunft beantworten und nachweisen.
Kursinhalt:
- Aufbau und Funktion der x86-Architektur und des RAM
- Werkzeuge und Methoden der forensischen Sicherung des Arbeitsspeichers
- Architektur und Speicherverwaltung von Windows
- Einsatz des Volatility Frameworks
- Plugins
- Viele praktische Übungen
Kursdauer: 2 Tage
(optional kann ein dritter zusätzlicher Übungstag angehängt werden. Hier werden dann noch weitere praktische Beispiele von den Teilnehmern zur Vertiefung
durchgearbeitet).
Der Kurs findet in Aachen statt, kann aber, bei einer entsprechenden Teilnehmerzahl, auch in Ihrer Firma stattfinden. Kursprache ist Deutsch, auf Anfrage auch Englisch.