heise Security – Eine Reise ins RAM
heise Security hat heute einen sehr guten Artikel zur Offline-Analyse eines Windows Rechners per Memory-Dump veröffentlicht. Im Artikel wird sehr genau erläutert, wie man in einem vorher erstellten Memory-Dump eines Windows Rechners „Trojaner“ aufspürt, dabei werden die Tools
- MoonSols Windows Memory Toolkit
- The Volatility Framework: Volatile memory artifact extraction utility framework
eingesetzt und genau beschrieben.
Der Autor Frank Boldewin hat auch eine eigene Homepage, unter reconstructer.org kann man obigen Artikel im englischen Original und weitere sehr interessante Artikel nachlesen.