Utvinning av volatil-data : En jämförelse av olika verktygs påverkan på Windows XP och 7 vid en volatil-data-utvinning

Jorlöv, David

January 2013

Examensarbetet går ut på att utreda vad verktyg vid volatil-data-utvinning (Reeve & Shipley, 2006) orsakar för förändringar på ett datasystem. Volatil-data är information som försvinner när datasystemet stängs av och kan vara nödvändig t.ex. när man försöker läsa en krypterad hårddisk, då krypteringsnyckeln (Casey, et al., 2011) kan finnas i (Random Access Memory) RAM-minnet som är volatilt. I IT-brottslighetens barndom utvecklades (Brown, 2009) metoder för att påverkan på ett datasystem vid ett beslag skulle bli så liten som möjligt. Detta gjordes för att beviset man får från datasystemet skulle hålla i en rättgång och gick ofta ut på att slå av strömmen på datasystemet. I dagsläget är detta inte alltid möjligt då viktig volatil information kan gå förlorad som t.ex. en krypteringsnyckel från RAM-minnet. Därför är det viktigt att (Blyth, et al., 2008) veta vad verktygen som används vid en volatil-data-utvinning orsakar för förändringar på datasystemet, för att man ska kunna använda sig av det verktyget som orsakar minst förändringar på datasystemet. Dessutom kan man i en rättegång tala om vilka förändringar verktyget orsakade.I examensarbetet har 14 verktyg analyserats på operativsystemen Windows XP och Windows 7. De med samma funktion jämfördes med varandra för att ta reda på vilka som orsakar minst förändringar i datasystemet. Från analysen av verktyg vid volatil-data-utvinning kan man konstatera att verktygen med ett grafiskt gränssnitt skrev betydligt mer till Windowsregistret än kommandoradsbaserade verktyg.

Volatildata

IT-forensik

Computer Engineering

Datorteknik