Forenzní analýza paměti

Forenzní analýza paměti je odvětví digitální forenzní analýzy, které se zaměřuje na analýzu a extrakci dat z volatilní paměti počítače, známé také jako RAM.

 

 

Co je to forenzní analýza paměti?

Forenzní analýza paměti je specializovaná oblast digitální forenzní analýzy, která se zaměřuje na zkoumání dat uložených v operační (volatilní) paměti počítače. Cílem je získat informace o tom, co se v daném okamžiku v systému dělo – jaké procesy běžely, jaké soubory byly otevřené, zda se v paměti nachází malware nebo jiné podezřelé aktivity. Paměť se na rozdíl od disku po vypnutí počítače smaže, proto je analýza často klíčová při aktivním incidentu.

 

Jak se forenzní analýza paměti projevuje v praxi

Příklady využití forenzní analýzy paměti:

  • Reakce na podezřelý útok – odhalení malwaru, který se skrývá jen v paměti a nezanechává stopy na disku.
  • Detekce tzv. fileless malwaru, který nevyužívá klasické soubory, ale běží jen v operační paměti.
  • Získání důkazů o činnosti uživatele (např. spuštěné aplikace, navštívené weby) v rámci interního vyšetřování.
  • Analýza chování útočníka – co dělal na napadeném zařízení a jak se tam dostal.
  • Sběr paměti v rámci reakce na incident jako doplněk k logům a obrazům disku.

 

Tato analýza umožňuje zmapovat situaci v reálném čase nebo těsně po útoku – často poskytne informace, které nelze získat jiným způsobem.

 

Jaký je rozdíl mezi forenzní analýzou paměti a souvisejícími termíny?

  • Forenzní analýza paměti – zaměřuje se na živou operační paměť (RAM), nestálá data.
  • Digitální forenzní analýza – obecný pojem, zahrnuje i disky, sítě, mobilní zařízení apod.
  • Malware analýza – detailní rozbor konkrétního škodlivého kódu (může probíhat i mimo paměť).

 

Rozdíl je v tom, že paměťová forenzní analýza často přináší „okamžité“ poznatky z běžícího systému, zatímco jiné metody zkoumají záznamy po incidentu. U moderních útoků, které běží jen v paměti, je tato metoda nezbytná.

 

Jak zavést forenzní analýzu paměti ve firemním prostředí

Doporučené kroky:

  1. Zařaďte forenzní analýzu paměti do plánu reakce na incidenty.
  2. Školte IT pracovníky nebo externí partnery v zachycení RAM (např. nástrojem FTK Imager, DumpIt apod.).
  3. Používejte nástroje pro live analýzu – například Volatility nebo Rekall.
  4. Zaveďte politiku „live response“ při podezření na napadení – zachytit paměť dříve, než se vypne stroj.
  5. Ukládejte získaná data bezpečně jako důkazní materiál pro případ právního řešení.

 

Firmy často spoléhají pouze na logy nebo zálohy disků. Ty ale nemusí obsahovat stopy moderních hrozeb, které fungují výhradně v paměti. Forenzní analýza paměti je přitom často jedinou cestou k jejich odhalení a pochopení.

zpět do slovníku