Analyse von Browserdaten im RAM, Frederik Rausch

Frederik Rausch

Kurzfassung

Diese Arbeit wird sich damit beschäftigen, wie Daten von Browsern aus dem RAM ausgelesen
werden können.
Die Browser-Informationen können zum Beispiel benutzt werden, um kriminelle Handlungen, die
mit Hilfe eines Internet-Browsers begangen wurden, nachzuweisen. Daten des Browsers könnten
unter anderem gelöscht oder versteckt werden oder sich auf nicht zugänglichen Datenträgern
befinden. In diesem Fall sind vielleicht noch Browser-Daten im RAM oder in einem alten
RAM-Abbild vorhanden, die verwendet werden können.
Zum Erreichen der Ziele dieser Arbeit wird das Volatility Framework zu Hilfe genommen und ein
Fokus auf den Browser Opera und das Betriebssystem Windows 7 gelegt. Zum Erstellen der
Programme wird die skriptbasierte Programmiersprache Python verwendet. Im Verlauf der Arbeit
werden die Ziele erweitert, so dass auch RAM-Abbilder von Linux untersucht werden können.
Des weiteren sollen die Daten in eine Datenbank geschrieben werden können.

Schlagwörter:
• RAM (Random-Access Memory): hier immer der Arbeitsspeicher der Computers
• Opera: kostenloser Webbrowser von „Opera Software“
• Andere Webbrowser: „Firefox“, „Chrome„ und „Internet Explorer“
• Python: Programmiersprache von „Python Software Foundation“
• Volatility (Volatility Framework): Sammlung von IT-Forensik-Tools zur RAM-Analyse
• Virtuelle Maschine (VM): Software zur Nachbildung eines Computers
• Cookies: Informations-Dateien, die ein Server auf einem Client hinterlässt. In diesem Fall hinterlässt die Webseite Daten auf dem Computer des Besuchers.
• History: Liste der besuchten Webseiten eines Browsers