Memory-Forensik
Was ist Memory-Forensik?
Memory-ForensikDisziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken.
Memory-Forensik nimmt sich flüchtiger Daten an, die beim Abschalten verschwinden, und liefert Beweise, die Datenträgerforensik nicht erreicht: rein im Speicher geladene Malware, entpackte Payloads, Schlüssel, Browsersitzungen, Klartext-Zugangsdaten sowie Tarnmechanismen von Rootkits. Die Sicherung erfolgt mit Werkzeugen wie WinPmem, DumpIt, AVML oder Hypervisor-Snapshots und erzeugt Rohdumps oder VMware-vmem-Dateien. Frameworks wie Volatility 3 und Rekall parsen Betriebssystemstrukturen und enumerieren Prozesse, DLLs, Sockets, Registry-Hives und Code-Injection. Sie ist zentral für fileless-Malware- und APT-Fälle und ergänzt Disk- und Netzwerkforensik in DFIR-Workflows nach NIST SP 800-86.
● Beispiele
- 01
Volatility 3 malfind plugin erkennt eingeschleusten Shellcode in einem Memory-Image.
- 02
Wiederherstellung der Mimikatz-Ausgabe eines Angreifers aus einem Windows-RAM-Dump.
● Häufige Fragen
Was ist Memory-Forensik?
Disziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Memory-Forensik?
Disziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken.
Wie schützt man sich gegen Memory-Forensik?
Schutzmaßnahmen gegen Memory-Forensik kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Memory-Forensik?
Übliche alternative Bezeichnungen: RAM-Forensik, Analyse flüchtigen Speichers.