Memory-Forensik

Auch bekannt als: RAM-Forensik, Analyse flüchtigen Speichers

Disziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken.

Memory-Forensik nimmt sich flüchtiger Daten an, die beim Abschalten verschwinden, und liefert Beweise, die Datenträgerforensik nicht erreicht: rein im Speicher geladene Malware, entpackte Payloads, Schlüssel, Browsersitzungen, Klartext-Zugangsdaten sowie Tarnmechanismen von Rootkits. Die Sicherung erfolgt mit Werkzeugen wie WinPmem, DumpIt, AVML oder Hypervisor-Snapshots und erzeugt Rohdumps oder VMware-vmem-Dateien. Frameworks wie Volatility 3 und Rekall parsen Betriebssystemstrukturen und enumerieren Prozesse, DLLs, Sockets, Registry-Hives und Code-Injection. Sie ist zentral für fileless-Malware- und APT-Fälle und ergänzt Disk- und Netzwerkforensik in DFIR-Workflows nach NIST SP 800-86.

Beispiele

Volatility 3 malfind plugin erkennt eingeschleusten Shellcode in einem Memory-Image.
Wiederherstellung der Mimikatz-Ausgabe eines Angreifers aus einem Windows-RAM-Dump.

Memory-Forensik

Beispiele

Verwandte Begriffe

Digitale Forensik

DFIR (Digitale Forensik und Incident Response)

Dateilose Malware

Malware Analysis

Datenträgerforensik

Evidence Acquisition

Definition

Beispiele

Verwandte Begriffe

Digitale Forensik

DFIR (Digitale Forensik und Incident Response)

Dateilose Malware

Malware Analysis

Datenträgerforensik

Evidence Acquisition