du.sePublikationer
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • chicago-author-date
  • chicago-note-bibliography
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
IT­-Forensisk undersökning av flyktigt minne: På Linux och Android enheter
Högskolan Dalarna, Akademin Industri och samhälle, Datateknik.
2013 (Svenska)Självständigt arbete på grundnivå (kandidatexamen), 10 poäng / 15 hpStudentuppsats (Examensarbete)Alternativ titel
Forensic examination of volatile memory under Linux and Android (Engelska)
Abstract [sv]

Att kunna gör en effektiv undersökning av det flyktiga minnet är något som blir viktigare ochviktigare i IT-forensiska utredningar. Dels under Linux och Windows baserade PC installationermen också för mobila enheter i form av Android och enheter baserade andra mobila opperativsy-stem.Android använder sig av en modifierad Linux-kärna var modifikationer är för att anpassa kärnantill de speciella krav som gäller för ett mobilt operativsystem. Dessa modifikationer innefattardels meddelandehantering mellan processer men även ändringar till hur internminnet hanteras ochövervakas.Då dessa två kärnor är så pass nära besläktade kan samma grundläggande principer användas föratt dumpa och undersöka minne. Dumpningen sker via en kärn-modul vilket i den här rapportenutgörs av en programvara vid namn LiME vilken kan hantera bägge kärnorna.Analys av minnet kräver att verktygen som används har en förståelse för minneslayouten i fråga.Beroende på vilken metod verktyget använder så kan det även behövas information om olika sym-boler. Verktyget som används i det här examensarbetet heter Volatility och klarar på papperet avatt extrahera all den information som behövs för att kunna göra en korrekt undersökning.Arbetet avsåg att vidareutveckla existerande metoder för analys av det flyktiga minnet på Linux-baserade maskiner (PC) och inbyggda system(Android). Problem uppstod då undersökning avflyktigt minne på Android och satta mål kunde inte uppnås fullt ut. Det visade sig att minnesanalysriktat emot PC-plattformen är både enklare och smidigare än vad det är mot Android.

Abstract [en]

The ability to be able to make a efficient investigation of volatile memory is something that getsmore and more important in IT forensic investigations. Partially for Linux and Windows based PCsystems but also for mobile devices in the form of the Android or devices based on other mobileoperative systems.Android uses a modified Linux kernel where the modifications exclusively are to adapt it to thedemands that exists in a operative system targeting mobile devices. These modifications containsmessage passing systems between processes as well as changes to the memory subsystems in theaspect of handling and monitoring.Since these two kernels are so closely related it is possible to use the same basic principles for dum-ping and analysing of the memory. The actual memory dumping is done by a kernel module whichin this report is done by the software called LiME which handles both kernels very well.Tools used to analyse the memory needs to understand the memory layout used on the systemin question, depending on the type of analyse method used it might also need information aboutthe different symbols involved. The tool used in this project is called Volatility which in theory iscapable of extracting all the information needed in order to make a correct investigation.The purpose was to expand on existing methods for analysing volatile memory on Linux-basedsystems, in the form of PC machines as well as embedded systems like Android. Difficulties arisedwhen the analysing of volatile memory for Android could not be completed according to existinggoals. The final result came to show that memory analysis targeting the PC platform is bothsimpler and more straight forward then what it is if Android is involved.

Ort, förlag, år, upplaga, sidor
2013.
Nyckelord [en]
Volatile memory, forensic, Android, Linux, Volatility, LiME
Nyckelord [sv]
Flyktigt minne, forensik, Android, Linux, Volatility, LiME
Nationell ämneskategori
Datorteknik
Identifikatorer
URN: urn:nbn:se:du-13124OAI: oai:DiVA.org:du-13124DiVA, id: diva2:654916
Handledare
Examinatorer
Tillgänglig från: 2013-10-10 Skapad: 2013-10-09 Senast uppdaterad: 2018-01-11Bibliografiskt granskad

Open Access i DiVA

fulltext(810 kB)433 nedladdningar
Filinformation
Filnamn FULLTEXT02.pdfFilstorlek 810 kBChecksumma SHA-512
6a492c6d63715a6bf37a534e90f68e16dbb0a6de8796f18fff6524a5246c9f94699128345f1ef528bb0831196155158b02d67f504dec4af213a72d86facdcf3e
Typ fulltextMimetyp application/pdf

Sök vidare i DiVA

Av författaren/redaktören
Hedlund, Niklas
Av organisationen
Datateknik
Datorteknik

Sök vidare utanför DiVA

GoogleGoogle Scholar
Totalt: 433 nedladdningar
Antalet nedladdningar är summan av nedladdningar för alla fulltexter. Det kan inkludera t.ex tidigare versioner som nu inte längre är tillgängliga.

urn-nbn

Altmetricpoäng

urn-nbn
Totalt: 385 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • chicago-author-date
  • chicago-note-bibliography
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf