Verlässliche forensische Live-Analyse

von csett86

Zusammenfassung:

Martignoni et al. stellen mit HyperSleuth ein Framework zur verlässlichen, forensischen Live-Analyse vor. Es nutzt hardwarebasierte Virtualisierungsunterstützung aktueller x86-Prozessoren, um ein laufendes Betriebssystem ohne merkbare Unterbrechung zu virtualisieren. Die forensische Analyse ist danach gegenüber Manipulationen geschützt, da der Hypervisor die endgültige Kontrolle über die Hardware besitzt. Sie ist gegenüber dem analysierten Betriebssystem transparent und kann daher während des Produktiveinsatzes mit nur geringen Leistungseinbußen durchgeführt werden. Zur Absicherung des Virtualisierungsvorgangs wird ein Prüfsummenverfahren über den Hypervisor mit Laufzeitmessung durch eine forensische Workstation durchgeführt.

HyperSleuth ist modular aufgebaut und implementiert drei Analysemodule: ein Modul zur Erstellung eines Speicherabbilds, das nach dem copy-on-write-Prinzip arbeitet, ein Lügendetektor zur Erkennung von Schadsoftware und ein Modul zur Erstellung eines Systemaufrufprotokolls, mit dem auf die internen Abläufe unbekannter Software geschlossen werden kann.

Verlässliche forensische Live-Analyse (pdf, 1,3MB)

Quelle: L. Martignoni, A. Fattori, R. Paleari und L. Cavallaro: Live and Trustworthy Forensic Analysis of Commodity Production Systems (pdf, 700kB), Proc. of 13th int. conf. on Recent advances in intrusion detection. Seiten 297–316. Springer, Heidelberg (2010)