IT-Forensik virtueller Maschinen, Remigius Kaminski

Remigius Kaminski

Kurzfassung

Das Ziel dieser Arbeit liegt in der Beschreibung forensischer Methoden zur Untersuchung virtueller Maschinen von verschiedenen Herstellern. Auf dem aktuellen Markt gibt es eine Vielzahl von verschiedenen Virtualisierungslösungen. Jede Virtualisierungslösung hat eine eigene Struktur mit der gearbeitet wird. Diese wird analysiert und dargelegt. Die entstehenden Daten geben dem Forensiker Aufschluss über die Eigenschaften der einzelnen virtuellen Maschinen, aber auch über deren Nutzung. Es werden die Produkte Microsoft Virtual PC 2007, VMware Workstation 10 und Oracle Virtual Box betrachtet. Diese Arbeit soll auch aufzeigen, inwiefern sich bestimmte Virtualisierungslösungen voneinander unterscheiden, wo die technischen Besonderheiten einer virtuellen Maschine liegen im Vergleich zu reellen Systemen und welche Unterschiede es zur „normalen“ forensischen Untersuchung gibt. Um dem Leser den Einstieg in die Themengebiete der IT-Forensik und virtueller Maschinen zu erleichtern, wird jeweils ein Kapitel mit dem Stand der Technik verfasst. Zum Schluss wird eine forensische Untersuchung an einer virtuellen Maschine durchgeführt, dadurch wird dem Leser ein Gesamteindruck einer vollständigen Untersuchung vermittelt.

Schlagwörter: Forensik, Informationstechnik, Virtuelle Maschinen, Virtual PC, VMWare Workstation, Oracle Virtual Box, Live Response, Post Mortem Analyse

Abstract

The aim of this thesis is to show how a forensic investigation can be done on different virtual machines from different manufactures. There are many different solutions on the market. Each virtualization works with his own structure. These structures are displayed. The virtual machines that are shown are Microsoft Virtual PC 2007, VMWare Workstation 10 and Oracle Virtual Box. Every virtual machine has different specifications and functionality so that the method of investigation can be changed. To get an introduction into computer-forensic and virtualization there will be two chapters about the state-of-the art. Additionally there will be displayed the differences between each solution of virtualization. At last there will be a scenario that shows the process of an investigation from the acquisition to taking possession of data on a virtual machine.

Keywords: Forensic, virtual machine, Virtual PC, VMWare Workstation, Oracle Virtual Box, Live Response, Post Mortem analysis