Auf dem diesjährigen Digital Forensics Research Workshop (DRFWS) stellte Andreas Schuster einige sehr interressante Ermittlungsansätze zur Sammlung flüchtiger Daten bei der Live-Response von verdächtigen Windows-Systemen vor.
Er nutzt hauptsächlich Strukturen der Speicherverwaltung des Windows-Kernels und seiner Objekte, um beim sequenziellen Durchsuchen eines Arbeitsspeicher-Abbildes Verwaltungsinformationen zu Prozessen und Threads zu identifizieren. All dies geschieht unabhängig von anderen Funktionen und Datenstrukturen des Kernels. Die oft auch von Schadprogrammen kontrollierte Windows-API wird dabei umgangen. Solange die entsprechenden Speicherbereiche noch nicht überschrieben wurden, lassen sich daher selbst bereits beendete Prozesse und Threads noch nachweisen. Neben beendeten Prozessen kann man überdies schon geschlossene Network Sockets identifizieren. Des weiteren ließe sich unter Umständen ebenfalls der Inhalt des Pufferspeichers analysieren.
Die komplette Meldung von mir gibt es hier.