Grundlagen der Speicherforensik

Grundlagen der Speicherforensik

Lernen Sie die Grundlagen der Speicherforensik kennen, indem Sie Beweise analysieren, die nur während des laufenden Systembetriebs existieren. Einige der wertvollsten Daten für die Incident Response – darunter aktive Prozesse, Live-Netzwerkverbindungen, Passwörter im Klartext und im Arbeitsspeicher befindliche Malware-Artefakte – gelangen nie in einer verwertbaren Form auf die Festplatte. Dieser Kurs vermittelt Ihnen, wie Sie den Arbeitsspeicher erfassen, eine schnelle Triage durchführen und Volatility nutzen, um flüchtige Beweise systematisch zu untersuchen.

Warum das wichtig ist

Die Speicherforensik ist oft der schnellste Weg, um eine aktive Kompromittierung zu verstehen. Während Festplatten-Artefakte zeigen, was zurückgelassen wurde, kann der RAM offenbaren, was genau in diesem Moment geschieht oder kurz vor der Erfassung geschehen ist. Dies macht die Speicheranalyse besonders wichtig für die Incident Response und die Malware-Triage.

Dieser Kurs konzentriert sich auf den praktischen Umgang mit flüchtigen Beweisen. Sie werden ein Speicherabbild (Memory Image) erstellen, es schnell nach offensichtlichen Indikatoren durchsuchen und anschließend Volatility verwenden, um Prozess- und Netzwerkinformationen zu extrahieren, die eine tiefergehende Analyse ermöglichen.

Was Sie lernen werden

• Erfassung des Arbeitsspeichers eines laufenden Systems unter Wahrung der flüchtigen Beweise.
• Durchführung einer schnellen Triage von Rohdaten des Speichers mit einfachen Befehlszeilentools.
• Einsatz von Volatility zur Untersuchung von Prozessen, Verbindungen und verborgenen Aktivitäten.
• Verständnis dafür, welche Arten von Beweisen am wahrscheinlichsten nur im RAM zu finden sind.
• Untersuchung von Live-Vorfällen mit einem klar strukturierten Workflow für die Speicheranalyse.

Kursübersicht

• Speicherextraktion: Erfassung eines Speicherabbilds von einem laufenden System.
• Analyse des Speichers mit Strings: Anwendung schneller Triage-Techniken, um offensichtliche Indikatoren aus dem Rohspeicher zu extrahieren.
• Einführung in Volatility: Anwendung von Volatility-Plugins zur Untersuchung von Prozess- und Netzwerkbeweisen.
• Live-Triage-Challenge: Erfassung und Analyse des Speichers während eines aktiven Vorfalls, um verborgene bösartige Aktivitäten zu identifizieren.

Zielgruppe

• Lernende, die von der Festplattenforensik zur Live-Incident-Triage übergehen möchten.
• Incident Responder, die eine Einführung in die Workflows der Speicheranalyse benötigen.
• Sicherheitsanalysten, die Malware, versteckte Prozesse oder flüchtige Netzwerkaktivitäten untersuchen.

Lernergebnisse

Am Ende dieses Kurses sind Sie in der Lage, flüchtige Speicherbeweise zu erfassen und zu untersuchen, aussagekräftige Prozess- und Netzwerkindikatoren zu extrahieren und die Speicheranalyse zur Stärkung Ihrer Incident-Response-Untersuchungen einzusetzen.