Open in new window
Title (deu)
Bytes on the Loose - DMA Forensic Abuse
A Survey of Direct Memory Access in IT-Forensics
Author
Florian Nocker
Degree supervisor
Robert Luh
Description (deu)
Fachhochschule St. Pölten, Masterarbeit 2024, Information Security
Description (deu)
Der direkte Speicherzugriff (Direct Memory Access bzw. DMA) ist ein grundlegender Bestandteil moderner Computerarchitekturen und eine Technik, die darauf abzielt, Datenübertragungen von der CPU auf andere Computerhardware, oft ein Peripheriegerät, auszulagern. Dies führt dazu, dass mehr CPU-Ressourcen für andere Aufgaben zur Verfügung stehen, während Peripheriegeräte vollen Zugriff auf den Systemspeicher erhalten. Diese Sicherheitslücke kann für die forensische Speicherakquise von Computersystemen genutzt werden. Im Rahmen unserer Arbeit haben wir den aktuellen Wissensstand über die Ausnutzung von DMA und Gegenmaßnahmen im Kontext der digitalen Forensik untersucht. Mittels einer strukturierten Literaturrecherche geben wir einen umfassenden Überblick über den Stand der Technik bei DMA-Angriffen in forensisch relevanten Anwendungsszenarien sowie über etablierte Abhilfemaßnahmen. Die meisten neuen Ansätze in diesem Bereich erfordern umfangreiche Kenntnisse über verschiedene verwandte Technologien und Datenübertragungsmechanismen. Unsere Arbeit soll einen Beitrag zum Verständnis von DMA, seinen Ausnutzungsmöglichkeiten für den forensischen Zugriff auf den Systemspeicher und benachbarte Technologien leisten, die eng damit verwandt oder davon abhängig sind.
Description (eng)
Direct Memory Access (DMA) is a fundamental component of computer architecture and is a technique aimed to offload data transfers from the CPU onto different computing hardware, often times a peripheral device. This results in more CPU resources being available for other tasks, at the expense of granting peripheral devices full access to system memory. This security flaw can be used for forensic memory acquisition of computer systems. During our work, we examined the knowledge body of DMA exploitation and - countermeasures in the context of digital forensics. Via the conduction of a structured literature review, we provide a comprehensive survey of the state-ofthe-art for DMA attacks in forensically relevant scenarios as well as established mitigation techniques. Most novel approaches in this field require extensive knowledge on various related technologies and data transfer mechanisms. Our deliverable shall contribute towards the understanding of DMA, its ways of exploitation to gain forensic access to system memory and adjacent technologies closely related to- or dependent on it.
Keywords (deu)
SpeicherdirektzugriffComputerforensik
Type (eng)
other
Language
[eng]
Persistent identifier
https://phaidra.ustp.at/o:5823
AC number
AC17168295
License
All rights reserved
University of Applied Sciences St. Pölten | Campus-Platz 1 | A-3100 St. Pölten | T +43/2742/313 228-234
Impressum | Terms of Use | Credits