Return to search

Kontamination av RAM-minne vid användning av IT-forensisk mjukvara

This report addresses a very specific area of computer forensics and information security. A computer forensic scientict are needed to act in critical situations, therefore the person needs broad knowledge of the physical memory, also known as volatile memory withincomputer forensics. As cybercrimes are rapidly increasing more for each year, it has also contributed to a huge development in the computer forensic department. Since the volatile memory of a computer plays a significant role in an investigation, a computer forensics actions can be crucial in the collection of evidence. Volatile memory is something that exists in all computer systems and the purpose is to store information temporarily, in other words, it only exists when the system is active. Volatile memory is an information source that is rich in information from a computer forensic perspective. Volatile memories are built up of binary code, which requires that these are analyzed using various tools. This availability of these tools today is very large. There are several different methods for analyzing the volatile memory in a computer, not just for the government, but also for the public. As the range of these methods and tools are big, we have chosen to focus on computer forensic tools that pay an important part of the work of a computer forensic. The execution of the practical part, we have chosen to apply in a virtualization environment, to carry out the experiments in a controlled manner. The experiments were a big success in showing that changes to the memory allocation have occurred in the event of contamination. When the dump-files were performed by the tools, a percentage difference could be determined and further analysis of these showed that contamination occurred. / Denna rapport behandlar ett väldigt specifikt område inom IT-forensik och informationssäkerhet. Då berörda parter, det vill säga IT-forensiker, emellanåt behöver agera i kritiska lägen krävs det att personen har breda kunskaper om det volatila minnet, mer känt som volatila minnen inom IT-forensik. Då IT-brott ökar allt mer för varje år behöver också utvecklingen inom IT-forensik ständig utveckling. Eftersom det volatila minnet ien dator har en betydande roll i samband med en utredning kan en IT-forensikers handlingar vara avgörande i bevisinsamlingen. Volatila minnen är något som finns i alla datorsystem och dess syfte är att lagra information temporärt, då minnet endast existerar när systemet är igång. Det volatila minnet är en informationskälla som är rik på viktig information ur ett IT-forensiskt perspektiv. Volatila minnen är uppbyggda av binärkod, vilket kräver att dessa analyseras med hjälp av olika verktyg. Utbudet av dessa verktyg är idag väldigt stora, det finns flertalet olika metoder för att gå tillväga för att analysera det volatila minnet i en dator, inte bara för myndigheter, utan även för allmänheten. Eftersom utbudet av dessa metoder och verktyg är stora, har vi valt att inrikta oss på IT-forensiska verktyg som är en viktig del i arbetet som IT-forensiker. Utförandet av den praktiska delen har vi valt att applicera i virtualiseringsmiljö, för att på ett kontrollerat sätt utföra experimenten. Vid experimenten erhöllsdet framgångsrika resultat där påvisning av att förändringar i minnesallokeringar skett, det vill säga kontamination. När RAM-dumparna väl hade utförts av verktygen fastställdes en procentuell skillnad och vidare analysering av dessa påvisade att kontamination förekommit.

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:hh-37698
Date January 2018
CreatorsFranzén, Joel, Norryd, Johan
PublisherHögskolan i Halmstad, Akademin för informationsteknologi, Högskolan i Halmstad, Akademin för informationsteknologi
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageSwedish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0017 seconds