Title (eng): Hypervisor Forensics

Author: Malzer, E. (Erich)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2012

Description (deu): Diese Arbeitet beschäftigt sich mit forensischen Analysen in virtuellen Umgebungen. Forensische Analysemethoden, wie Post-Mortem oder Live Analysen, sind von einigen Nachteilen betroffen, wie zum Beispiel das Kopieren des Hauptspeichers oder die direkte Interaktion mit dem eigentlichen System. In virtualisierten Umgebungen gibt es neue Möglichkeiten verdächtige Maschinen zu analysieren. Eine davon ist der direkte Zugriff auf die virtuelle Maschine über den Hypervisor, genannt “Virtual Machine Introspection“. Diese Zugriffsmethode wird bei den einzelnen Hypervisoren evaluiert und verglichen. Weiters werden verschiedene Analysetools für Hauptspeicheranalysen evaluiert in deren Funktionalität und der Möglichkeit automatisierte Analysen zu entwickeln. Abschließend wird ein neues Framework entwickelt, welche beide Teile zusammenführt. Dies ermöglicht automatisierte Hauptspeicheranalysen von virtuellen Maschinen und wird um weitere Hypervisoren und Analysetools erweiterbar sein.

Description (eng): This thesis deals with forensic analysis of virtualized environments. Common analysis techniques, like post-mortem or live forensics, have to deal with some disadvantages, like gathering of the memory image or the direct interaction with the live system. In a virtualized environment other possibilities are available to investigate a suspicious machine. One of these is the direct access via the hypervisor, called virtual machine introspection. This method will be evaluated across common hypervisors. Further, different memory analysis frameworks will be evaluated on functionality and the possibility to implement an automated analysis of a memory image. In the end, a new framework will be developed, tying both parts together. It enables automated analysis of virtual machines and will be extendable to other hypervisors as well as memory analysis frameworks.

Object languages: English

Date: 2012

Rights: © All rights reserved

Classification: Computerforensik; Virtualisierung

Permanent Identifier