hh.sePublications
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Kontamination av RAM-minne vid användning av IT-forensisk mjukvara
Halmstad University, School of Information Technology.
Halmstad University, School of Information Technology.
2018 (Swedish)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE creditsStudent thesis
Abstract [en]

This report addresses a very specific area of computer forensics and information security. A computer forensic scientict are needed to act in critical situations, therefore the person needs broad knowledge of the physical memory, also known as volatile memory withincomputer forensics. As cybercrimes are rapidly increasing more for each year, it has also contributed to a huge development in the computer forensic department. Since the volatile memory of a computer plays a significant role in an investigation, a computer forensics actions can be crucial in the collection of evidence.

Volatile memory is something that exists in all computer systems and the purpose is to store information temporarily, in other words, it only exists when the system is active. Volatile memory is an information source that is rich in information from a computer forensic perspective. Volatile memories are built up of binary code, which requires that these are analyzed using various tools. This availability of these tools today is very large. There are several different methods for analyzing the volatile memory in a computer, not just for the government, but also for the public. As the range of these methods and tools are big, we have chosen to focus on computer forensic tools that pay an important part of the work of a computer forensic.

The execution of the practical part, we have chosen to apply in a virtualization environment, to carry out the experiments in a controlled manner. The experiments were a big success in showing that changes to the memory allocation have occurred in the event of contamination. When the dump-files were performed by the tools, a percentage difference could be determined and further analysis of these showed that contamination occurred.

Abstract [sv]

Denna rapport behandlar ett väldigt specifikt område inom IT-forensik och informationssäkerhet. Då berörda parter, det vill säga IT-forensiker, emellanåt behöver agera i kritiska lägen krävs det att personen har breda kunskaper om det volatila minnet, mer känt som volatila minnen inom IT-forensik. Då IT-brott ökar allt mer för varje år behöver också utvecklingen inom IT-forensik ständig utveckling. Eftersom det volatila minnet ien dator har en betydande roll i samband med en utredning kan en IT-forensikers handlingar vara avgörande i bevisinsamlingen.

Volatila minnen är något som finns i alla datorsystem och dess syfte är att lagra information temporärt, då minnet endast existerar när systemet är igång. Det volatila minnet är en informationskälla som är rik på viktig information ur ett IT-forensiskt perspektiv. Volatila minnen är uppbyggda av binärkod, vilket kräver att dessa analyseras med hjälp av olika verktyg. Utbudet av dessa verktyg är idag väldigt stora, det finns flertalet olika metoder för att gå tillväga för att analysera det volatila minnet i en dator, inte bara för myndigheter, utan även för allmänheten. Eftersom utbudet av dessa metoder och verktyg är stora, har vi valt att inrikta oss på IT-forensiska verktyg som är en viktig del i arbetet som IT-forensiker.

Utförandet av den praktiska delen har vi valt att applicera i virtualiseringsmiljö, för att på ett kontrollerat sätt utföra experimenten. Vid experimenten erhöllsdet framgångsrika resultat där påvisning av att förändringar i minnesallokeringar skett, det vill säga kontamination. När RAM-dumparna väl hade utförts av verktygen fastställdes en procentuell skillnad och vidare analysering av dessa påvisade att kontamination förekommit.

Place, publisher, year, edition, pages
2018. , p. 66
Keywords [sv]
IT-forensik, utvinning, live-respons, RAM-minne, kontamination, virtualisering
National Category
Computer Systems
Identifiers
URN: urn:nbn:se:hh:diva-37698OAI: oai:DiVA.org:hh-37698DiVA, id: diva2:1238070
External cooperation
Jonas Johansson
Subject / course
Digital Forensics
Educational program
IT Forensics and Information Security, 180 credits
Supervisors
Examiners
Available from: 2018-08-15 Created: 2018-08-11 Last updated: 2018-08-15Bibliographically approved

Open Access in DiVA

fulltext(1293 kB)56 downloads
File information
File name FULLTEXT02.pdfFile size 1293 kBChecksum SHA-512
099b45bd8a359da9beb7630dcfad048bc6865d3e790e139e60d1fe1a0e3c2cd8bd1b65732203aae60da03da9eefedc5a1311fc8d8a079bd571a0338d4b6fef92
Type fulltextMimetype application/pdf

By organisation
School of Information Technology
Computer Systems

Search outside of DiVA

GoogleGoogle Scholar
Total: 56 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 340 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf