Verbesserung der forensischen Untersuchung von RAM-Abbildern mit Volix II, Patrick Bock

Patrick Bock

Kurzfassung

In dieser Bachelorarbeit werden die Möglichkeiten zur Verbesserung und Erweiterung des Programms Volix II erläutert und deren Realisierung aufgezeigt. Volix II bietet eine grafische Benutzeroberfläche für das Volatility Framework. Der Name Volix steht für Volatility Interface & Extensions. Da viele Befehle des Volatility Frameworks weiter verarbeitet werden müssen, um sinnvolle Informationen zu erhalten, werden in Volix II weitere Programme zu diesem Zweck eingebunden. Um dem Benutzer bzw. der Benutzerin die Auswahl der Befehle zu erleichtern bietet das Programm verschiedene Hilfestellungen in Form von Wizards, welche ebenfalls erweitert und verbessert werden sollen.
In dieser Bachelorarbeit wird die Erweiterung des Programms beginnend bei dem aktuellen Stand der Technik aufgezeigt. Es werden die Anforderungen festgelegt und deren Implementierung erläutert. Anhand einer ausführlichen Beispieluntersuchung wird die Durchführung der Untersuchung eines RAM-Abbildes mit Hilfe von Volix II detailliert aufgezeigt.

Schlagwörter: Volatility Framework, Volix, Untersuchung, Speicher, RAM, Arbeitsspeicher, Forensik, Benutzeroberfläche, IT

Abstract

In this Bachelor thesis the possibilities to improve and expand the program Volix II and their realization are explained. Volix II provides a graphical user interface for the Volatility Framework. The name stands for Volatility Volix Interface & Extensions. Since many of the commands of the Volatility Framework need to be further processed to obtain meaningful information, in Volix II additional programs can be integrated for this purpose. To make it easier for the user to select commands, the program offers help in the form of Wizards, which will also be expanded and improved.
In this Bachelor thesis, the extension of the program will be shown starting at the current state of the art. The requirements will be specified and their implementation explained. Based on an extensive investigation example, the execution of the investigation of a RAM image with the help of Volix II will be shown in detail.

Keywords: Volatility Framework, Volix, Investigation, Memory, RAM, Working memory, Forensic, User interface, IT