Blog

Produktmerkmale

Erweitern Sie die Ermittlungen mit Speicher-Artefakten mit Volatility in AXIOM 2.0

Unabhängig davon, ob Sie Computer im Außendienst für kriminelle Ermittlungen beschlagnahmen oder auf Cyber-Vorfälle für ein Unternehmen reagieren, die forensische Speicheranalyse bietet Ihnen Zugang zu Beweisen, die Sie mit „Dead-Box“-Forensik allein nicht erhalten können. In vielen Fällen kann die Gedächtnisanalyse die einzige Möglichkeit sein, Beweise zu erhalten, die für die Klärung Ihrer Untersuchung entscheidend sind.

Wenn die Speicheranalyse ein wichtiger Bestandteil Ihrer forensischen Untersuchungen ist, dann sind Sie wahrscheinlich mit Volatility vertraut, dem Open-Source-Framework, das sowohl bei Strafverfolgungsbehörden als auch bei Unternehmensermittlern bereits bekannt, vertrauenswürdig und beliebt ist.

Wie wir bereits geschrieben haben, freuen wir uns sehr, einige der beliebtesten Core-Plugins aus dem Volatility Framework in das AXIOM 2.0 Computer-Modul zu integrieren. Diese Integration hat zusammen mit dem benutzerfreundlichen Artefakt-orientierten Ansatz von AXIOM vier Hauptvorteile:

  • Die Benutzeroberfläche und die Möglichkeit, mehrere Instanzen von Volatility gleichzeitig auszuführen, beschleunigen die Speicheranalyse.
  • Die Schnittstelle wird auch einem breiteren Kreis von Ermittlern den Zugang zur Gedächtnisanalyse erleichtern.
  • Durch die Kombination von Volatility-Parsing mit AXIOM-geschnitzten Bildern, URLs und Betriebssystem-Artefakten aus dem Speicher können Sie ein vollständigeres Bild der Aktivität erhalten, die auf einem Gerät stattgefunden hat.
  • Mit der Fähigkeit, Speicher- und Festplattendaten zu korrelieren, verbessert AXIOM die Fähigkeit, die Zuschreibung oder Absicht in einer Untersuchung nachzuweisen sowie vollständigere Zeitpläne zu entwickeln,

was AAron Walters, Präsident der Volatility Foundation, über die Integration zu sagen hatte :

„Wir haben Volatility entwickelt, um Zusammenarbeit, Innovation und Zugänglichkeit auf dem spannenden Gebiet der Gedächtnisanalyse zu fördern. Die Integration von Volatility in Magnet AXIOM unterstreicht die entscheidende Rolle, die die Speicheranalyse in modernen Untersuchungen spielt, und die Bedeutung von Open-Source-Beiträgen für die Forensik-Community. Wir schätzen die Unterstützung von Magnet und ihren Wunsch, diese Fähigkeiten einer breiteren Mischung von Forensik-Prüfern zugänglicher zu machen.“

Von der Befehlszeile zur GUI

Die Gedächtnisanalyse ist seit vielen Jahren die Domäne erfahrener Forensiker. Bei der herkömmlichen Speicheranalyse über die Befehlszeile müssen Prüfer zwischen Programmen hin- und herspringen, benutzerdefinierte Skripts erstellen und komplexe Befehlszeilenaufforderungen abrufen, um den Speicher wiederherzustellen und zu analysieren. Nur ein falsches Zeichen kann dazu führen, dass der Befehl fehlschlägt.

Um dieses Problem anzugehen, haben wir uns auf die Vereinfachung der Speicheranalyse konzentriert, indem wir eine Reihe der Kern-Plugins von Volatility in den artefaktorientierten Untersuchungsansatz von AXIOM integriert haben. Tatsächlich beginnt die zeitsparende Integration von AXIOM mit dem allerersten Befehl, den Sie beim Wiederherstellen des Speichers ausführen müssen:

  • Anstatt manuell in der Befehlszeile nach dem richtigen Speicherprofil zu suchen, führt AXIOM den Befehl automatisch (mit den richtigen Parametern) aus und gibt die empfohlenen Profile zurück.
  • Sie können entweder das von AXIOM empfohlene Profil verwenden oder ein bekanntes Profil aus der Dropdown-Oberfläche auswählen.
  • Anschließend können Sie die Speicherartefakte auswählen, die Sie einschließen möchten, sowie alle webbezogenen, E-Mail- und/oder Betriebssystemartefakte, die Sie suchen und zu denen Sie Verbindungen aufbauen möchten.

AXIOM verwendet dann die Artefaktausgabe dieses Profils, um alle zukünftigen Befehle automatisch zu formulieren. Diese Funktion spart viel Zeit, da Sie nicht mehr manuell nach dem richtigen Profil suchen und es wiederholt in die Befehlszeile einfügen müssen. Darüber hinaus bietet AXIOM vollständige Filterung, Stichwortsuche (und Hervorhebung!) und Sortierung aller zurückgegebenen Artefaktdaten.

Sie können sogar mehrere Befehle gleichzeitig ausführen, da AXIOM mehrere Instanzen von Volatility gleichzeitig ausführt. Auf diese Weise können Sie Ihre Speicheranalyse deutlich schneller durchführen als die traditionelle Methode, die nur einen Befehl gleichzeitig zulässt.

Weitere Verbesserung der Speicheranalyse mit Verbindungen in AXIOM

Verbindungen in AXIOM ermöglicht es Prüfern, zu erfahren, woher die wichtigsten digitalen Beweismittel stammen, wo sie sich derzeit befinden, mit wem sie geteilt wurden und wann (oder ob) sie geöffnet wurden.

In AXIOM 2.0 integriert Connections Artefakte von herkömmlichen Disk-Images, Windows-Betriebssystemen und einige der beliebtesten Volatility-Kernbefehle als Artefakte in AXIOM. Zu diesen neuen Artefakten gehören aktive und historisch geladene Treiber und laufende Prozesse; versteckte Prozesse; geladene, nicht verknüpfte, versteckte und injizierte DLLs; offene Dateien, Handles, aktive und historische Verbindungen und Sockets und Timeline.

Durch die Überprüfung von Speicher-, Datenträger- und Windows-Betriebssystemartefakten in Connections können Sie jetzt die Beziehungen zwischen Dateien und Benutzeraktionen visualisieren, um die Zuordnung und/oder Absicht nachzuweisen:

  • Zum Beispiel können Gedächtnisnachweise helfen, die Verteidigung „ein anderer Typ hat es getan“ bei Ermittlungen zur Ausbeutung von Kindern zu beweisen oder zu widerlegen, indem sie zeigen, wer zu einem bestimmten Zeitpunkt am Computer angemeldet war, welche Programme geöffnet waren, welche Verbindungen aktiv waren, wann Schlüsseldateien – wie Bilder oder Videos – erstellt wurden und wann sie verschoben wurden. Systemartefakte können hingegen kürzlich oder häufig angezeigte Dateien anzeigen.
  • Ebenso können Artefakte wie $LogFile Unternehmensermittlern dabei helfen, Benutzeraktivitäten bei IP-Diebstahl- und Betrugsuntersuchungen zu verfolgen. Die Responder von Cyber-Sicherheitsvorfällen können auch eine Ursachenanalyse durchführen. Durch die Verwendung von Connections zum Identifizieren und Verfolgen von Malware auf einem Endpunkt können sie besser verstehen, wie sie dorthin gelangt ist, was sie getan hat und wo sie sonst hingekommen ist.

Die strategischen Vorteile der Gedächtnisanalyse

Unabhängig davon, ob Ihr Unternehmen an einen Anbieter von Managed Security Services oder Ihre Strafverfolgungsbehörde an die staatliche Polizei oder das forensische Labor der Bundesarbeitsgruppe auslagert, stellen Sie möglicherweise fest, dass Sie mit der Speicheranalyse Ihre Abhängigkeit von externen Quellen reduzieren können. Indem Sie Ihre Fähigkeiten um die Speicheranalyse erweitern, können Sie einige Dienste möglicherweise intern bereitstellen, was sowohl Zeit als auch Geld spart.

Unternehmensermittler können beispielsweise die grundlegende Analyse durchführen, die erforderlich ist, um zu beurteilen, ob eine Datenschutzverletzung aufgetreten ist und eine gründlichere Reaktion auf Vorfälle erforderlich ist – oder einfach ein falsch positives Ergebnis war. In der Zwischenzeit könnten Ermittler der Strafverfolgungsbehörden in die Lage versetzt werden, schnell zu handeln, um kleinere Datenschutzverletzungen zu beheben, von denen kleine lokale Geschäftsinhaber betroffen sind, und gleichzeitig die Abhängigkeit (und das Potenzial für Rückstau) von staatlichen oder bundesstaatlichen Task Forces zu verringern.

Während die Integration des Volatility Frameworks in die AXIOM-Plattform es Ihnen ermöglicht, integrierte Volatility-Befehle auf einem Speicherabbild-Image auszuführen, empfehlen wir Ihnen jedoch auch, unsere Volatility-Integration als Ausgangspunkt für eine tiefere forensische Analyse zu betrachten.

Durch den Zugriff auf einige Grundlagen der Speicheranalyse ermöglicht AXIOM Ihnen, die Leistungsfähigkeit der Speicheranalyse zu erkennen. Anschließend können Sie Ihre forensischen Fähigkeiten erweitern und lernen, die Volatility-Befehlszeilenschnittstelle zu verwenden, um die Ergebnisse der Integration zu validieren. Erfahren Sie hier mehr über das Volatilitätstraining.

Wenn wir zusätzliche Plugins hinzufügen möchten, wenden Sie sich bitte an den Kundensupport oder Ihren Vertriebsmitarbeiter. Um unsere Integration in Aktion zu sehen, Kontaktieren Sie uns hier für eine kostenlose Demo.

Holo, transparent letter M

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben