Der kroatische Sicherheitsberater Luka Milkovi? hat sich auf dem 29c3 dem Thema Windows Memory Forensics gewidmet. Nachdem er einen recht guten Überblick über die aktuellen Memory Forensics Verfahren und Tools gegeben hat, no new Kids on the block here, hat er einige Verfahren vorgestellt, die sowohl den Akquisition- als auch den Analyseprozess behindern können. Hervorzuheben ist hier die Arbeit von Takahiro Haruyama und Hiroshi Suzuki, die ja 2012 ein Verfahren zur One-Byte Modification präsentiert haben.
Der Hauptteil des Vortrags auf dem 29c3 beschäftigt sich dann aber mit dem Proof of Concept Tool für Anti Memory Forensics names Dementia. Im Kern geht es hierbei darum, Komponenten aus User und Kernel Land im Memory Dump auszublenden. Im Grunde genommen fängt das Tool mit mehrere Methoden die NtWriteFile() Calls ab.
Den Code von Dementia kann man hier herunterladen. Laut Autor wurde Dementia unter Windows XP, Vista und 7 getestet.
Anbei der Link zum Videomitschnitt des gesamten Vortrags (http://www.youtube.com/watch?v=Q45uvqvripM) und zu den Slides (http://events.ccc.de/congress/2012/…memory%20forensics.ppt)