Schadsoftware-Erkennung durch Scannen von Arbeitsspeicherabbildern, Lukas Vogt

Lukas Vogt

Kurzfassung

Die stetig wachsende Anzahl und Komplexität von Schadsoftware erfordert, dass Antivirenprogramme ihre Funktionalität ausbauen müssen. In dieser Bachelorarbeit werden die Möglichkeiten zur Erkennung von Schadsoftware durch Analysen von Arbeitsspeicherabbildern erläutert und die Entwicklung einer Softwarelösung formuliert. Der Prototyp, unter dem Arbeitstitel Vola, basiert auf dem Volatility Framework, ein Open Source Projekt zur IT-forensischen Analyse von Arbeitsspeicherabbildern, dessen Entwicklung von der Volatility Foundation unterstützt wird. Zur Erfassung von Arbeitsspeicherabbildern wird zusätzlich das Programm Live RAM Capturer, von der Firma Belkasoft, in das Projekt eingebunden. Nachdem ein Abbild von Volatility auf Schadsoftware analysiert wurde, werden die extrahierten Daten mit Hilfe der Virustotal Programmierschnittstelle, von der Firma VirusTotal, überprüft.
Der Prototyp wird ausschließlich für die verschiedenen Iterationen des Windows Betriebssystems von Microsoft entwickelt.

Schlagwörter: Antiviren, Arbeitsspeicher, RAM, IT-Forensik, Vola, Volatility, Live RAM Capturer, Virustotal, Windows

Abstract

The steadily rising amount and complexity of malware requires that antivirus programs expand their functionality. The goals of this bachelor thesis are to point out the possibilities of detecting malware by analyzing RAM images and to display the development of a software solution. The prototype, under the working title Vola, is based upon the Volatility Framework, an open source project to forensically analyze RAM images. The development of said framework is being supported by the Volatility Foundation. To acquire the RAM images the program Live RAM Capturer by Belkasoft is being integrated into the project as well. After the malware analysis of a RAM image by Volatility, the extracted data will be verified with the help of the VirusTotal Application Programming Interface. This prototype is exclusively being developed for the different iterations of the Windows operating system by Microsoft.

Keywords: antivirus, working memory, RAM, IT-forensic, Vola, Volatility, Live RAM Capturer, VirusTotal, Windows