Stand in den letzten Jahren die Speicheranalyse von Windows-Systemen im Vordergrund, so kann man mittlerweile erkennen, dass sich immer mehr Forensiker mit der Analyse von Linux-Systemen beschäftigen. Ein Grund dafür ist die zunehmende Verbreitung von Linux auf Servern und mobilen Geräten. Somit rücken diese Systeme auch immer stärker in den Fokus der Angreifer. Des Weiteren lässt sich mithilfe der Arbeitsspeicheranalyse die Bearbeitung eines Vorfalls deutlich beschleunigen. Aber auch nicht persistente Malware kann damit identifiziert werden, was mit der traditionellen Festplatten-Forensik nicht möglich ist.
Vor allem das Volatility Framework wird stetig um neue Funktionen erweitert und stellt ein wertvolles Werkzeug zur Speicheranalyse unter Linux dar. War es bis vor Kurzem nur möglich, 32-Bit-Systeme zu untersuchen, so werden jetzt auch 64-Bit-Betriebssysteme unterstützt. Dies ist eine sehr wichtige Neuerung, da die Anzahl der 64-Bit-Systeme kontinuierlich zunimmt. Trotzdem fehlen noch einige Funktionen, die in naher Zukunft verfügbar sein sollen. Beispielsweise fehlt die Unterstützung der ARM-Architektur, die für die Untersuchung von Android Smartphones nötig ist. Aber auch die Analyseplugins aus dem ursprünglichen Branch
»linux-support
«
wurden noch nicht komplett in die neuen Codebasis mit aufgenommen.
Infos