Forensically Sound Data Acquisition in the Age of Anti-Forensic Innocence Forensisch korrekte Datensicherung im Zeitalter anti-forensischer Arglosigkeit Der Technischen Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg zur Erlangung des Doktorgrades Dr.-Ing. vorgelegt von Michael Gruhn aus Bad Windsheim Als Dissertation genehmigt von der Technischen Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg Tag der mündlichen Prüfung: 2016-11-24 Vorsitzender des Promotionsorgans: Prof. Dr.-Ing. Reinhard Lerch Gutachter: Prof. Dr.-Ing. Felix Freiling Prof. Dr. Zeno Geradts Abstract In this thesis, we tackle anti-forensic and rootkit problems in digital forensics. An anti-forensic technique is any measure that prevents a forensic analysis or reduces its quality. First, we investigate the anti-forensic threat of hard drive firmware rootkits, which can prevent a forensic analyst from acquiring data from the hard drive, thus jeopardizing the forensic analysis. To this end, we first outline the threat of hard drive firmware rootkits. We then provide a procedure to detect and subvert already published hard disk drive firmware bootkits. We further outline potential avenues to detect hard drive firmware rootkits nested deeper within the hard disk drive’s so-called Service Area, a special storage on the magnetic platter reserved for use by the firmware. After addressing the acquisition of persistent data storage in form of hard disk drives, we shift towards acquisition and later analysis of volatile storage, in the form of RAM. To this end, we first evaluatetheatomicityandintegrityaswellasanti-forensicresistanceofdifferentmemoryacquisition techniques with our novel black-box analysis technique. This black-box analysis technique in which memory contents are constantly changed via our payload application with a traceable access pattern, allowsustomeasuretowhichextentcurrentmemoryacquisitionmethodssatisfyatomicity and integrity when dumping the memory of processes. We also discuss their resistance against anti-forensics. As a result, we show that cold boot attacks belong to the most favorable memory acquisition techniques. We then investigate cold boot attacks in more detail. First, we experimentally confirm that cooling the RAM modules prolongs the remanence effect considerably. We then prove also experimentally that transplanting RAM modules from one system to another is possible. We further address the issue scrambling in modern DDR3 technology as well as other proposed countermeasures, such as BIOS passwords and temperature detection. We also show that once a system is cold-booted, malicious anti-forensic code running on the system stops running immediately and can thus no longer interfere with the memory acquisition. Therefore, we show the practical feasibility of cold boot attacks as anti-forensic resistant memory acquisition method. After outlining the anti-forensic resistant acquisition of evidence we address the analysis. To this end, we first revisited the theory of data analysis, especially the concept of essential data in forensic analysis as coined by Carrier in his seminal work “File System Forensic Analysis”. We first extend Carrier’sconceptbydifferentiatingdifferentlevelsofessentiality. Weintroducethenotionofstrictly essential data, which refers to data that is always required to be correct and non-manipulated by all systems to provide a specific functionality, and partially essential, which is only required to be correct and non-manipulated for some systems. We then practically verify both the original theories and our extensions in experiments. Eventually, we argue that essential data can help to build a trust hierarchy of data encountered during forensic analysis, from which we conclude that anti-forensic resistant analysis methods must only rely on what we call strictly essential, i.e., trusted, data, otherwise, the analysis is potentially impaired by anti-forensic measures because non-essential data can be freely manipulated without impacting the correct working of a system. Last but not least, we tackle a long unsolved problem in forensic memory analysis: Currently, all state-of-the-art digital forensic virtual memory analysis tools ignore unmapped memory pages, i.e., pages swapped out onto persistent storage. This can result in blind spots in which data and thus potentialevidenceisnotanalyzed. WefixthisbyanalyzingtheWindowsNTvirtualmemorypaging via a novel gray-box analysis method. To this end, we place traceable data into virtual memory and force itinto both the physical RAM aswell as thepagefile stored onpersistent storage. We are thus able to reverse engineer the complete virtual address mapping, including the non-mapped pagefile. We evaluate our analysis results against real world data from Windows 7, 8, and 10 systems in both the 32 and 64-bit variants. By shedding light on this last blind spot of virtual memory analysis we increase its anti-forensic resistance, because we can now for the first time analyze the virtual address space in its entirety. Zusammenfassung Diese Arbeit befasst sich mit der Anti-Forensik und Rootkit Problematik in der digitalen Forensik. Eine anti-forensische Technik ist jede Maßnahme die eine forensische Analyse verhindert oder Ihre Qualität mindert. Zuerst wird die anti-forensische Bedrohung durch Festplatten Firmware Rootkits untersucht, welche einen forensischen Analysten davon abhalten können Daten zu sichern, und dadurch die Analyse gefährden. Hierzu skizzieren wir zunächst die Bedrohung durch Festplatten Rootkits. Dann stellen wir eine Prozedur vor mit der bereits veröffentlichte Rootkits erkannt und unterbunden werden können. Wir zeigen potenzielle Wege zur Auffindung von Rootkits, die tiefer in der Festplatten Firmware, in der sogenannten Service Area, einem speziellen Speicherbereich reserviert für die Benutzung durch die Firmware, verankert sind. NachdemProblemderDatensicherungvonFestplattenwidmenwirunsderSicherungundspäteren Analyse von flüchtigen Daten in Form von RAM. Hierzu evaluieren wir zuerst die Atomarität und Integrität, aber auch die anti-forensische Resistenz verschiedener Techniken zur Hauptspeichersi- cherung mit unserer neuartigen Black-Box Analyse Methode. Diese Analyse Methode, in der die SpeicherinhaltedurchunsereAnwendungpermanentdurcheinverfolgbaresZugriffsmusterverändert werden, erlaubt es uns zu messen zu welchem Grad aktuelle Methoden zur Hauptspeichersicherung atomar und integer sind beim Auslesen des Speichers von Prozessen. Wir erörtern des weiteren derenResistenzgegenAnti-Forensik.DasResultatzeigt,dassderColdBootAngriffeinebevorzugte Technik zur Hauptspeichersicherung ist. Wir haben deshalb den Cold Boot Angriff im Detail betrachtet. Zuerst haben wir experimentell bestätigt, dass das kühlen des RAMs den Remanenz Effekt beachtlich verlängert. Wir zeigen, ebenfallsexperimentell,dassdasTransplantierenvonRAMModulenvoneinemSystemzumanderen möglich ist. Des weiteren befassen wir uns mit dem Problem des Scramblings der modernen DDR3 Technologie und weiteren Gegenmaßnahmen wie BIOS Passwörtern und Temperatur-Überwachung. Wir zeigen ebenso, dass durch das kalte Neustarten Anti-Forensik Code der auf dem System ausgeführt wird sofort in seiner Ausführung unterbrochen wird und daher nicht weiter bei der Hauptspeichersicherunginterferierenkann.DadurchzeigenwirsowohldiepraktischeAnwendbarkeit also auch die Anti-Forensische Resistenz des Cold Boot Angriffes. Nach dem Aufzeigen anti-forensisch resistenter Sicherung von Beweisen wenden wir uns der Analyse zu. Hierzu erweitern wir zunächst das Konzept von essentiellen Daten wie es von Carrier in seiner wegweisend Arbeit “File System Forensic Analysis” vorgestellt wurde. Wir erweitern Carriers Konzept durch die Unterscheidung zwischen strikt essentiellen Daten, die immer korrekt und nicht manipuliert seien müssen damit alle Systeme eine spezifische Funktion zur Verfügung stellen können und partiell essentiellen Daten, die nur für manche System korrekt und nicht manipuliert seien müssen. Danach verifizieren wir die originale Theorie und unsere Erweiterung in praktischen Experimenten.ZumEndeargumentierenwir,dassessentielleDatenhelfeneineVertrauensHierarchie der Daten die in einer forensischen Analyse vorgefunden werden zu erstellen, aus welcher wir schließen können, dass anti-forensisch Resistente Analyse Methoden nur solche Daten verwenden dürfen die strikt essentiell sind, da sonst die Analyse potenziell durch anti-forensische Maßnahmen beeinträchtigt wird, weil nicht essentielle Daten frei manipulierbar sind ohne die Funktionalität eines Systems einzuschränken. Zuletzt widmen wir uns einem lange ungelösten Problem in der forensischen Hauptspeicheranalyse. Zur Zeit ignorieren alle gängigen forensischen Methoden zur Hauptspeicheranalyse ausgelagerte Speicherseiten, d.h. virtuelle Speicherseiten die auf persistenten Speicher ausgelagert wurden. Dies resultiert in durch die Analyse nicht einsehbare Speicherbereiche in denen sich potenziell Beweise befinden können. Wir treten dem entgegen indem wir die virtuelle Speicherverwaltung von Windows NT mit einem Gray-Box Analyse Ansatz untersuchen. Hierzu plazieren wir rück verfolgbare Daten sowohl in den physischen RAM als auch die Auslagerungsdatei. Dadurch können wir den kompletten virtuellen Adressraum mitsamt der Auslagerungsdatei rekonstruieren. Wir evaluieren unseren Ansatz gegen Windows 7, 8 und 10, in den 32 und 64-bit Varianten. Indem wir diese zuvor nicht einsehbaren Speicherbereiche der Hauptspeicheranalyse zuführen stärken wir deren anti-forensische Resistenz, da man nun den kompletten Adressraum analysieren kann. Acknowledgments First and foremost, I would like to thank my doctoral advisor Felix Freiling for giving me the opportunity to work with him at his Security Research Group at the Department of Computer Science at the Friedrich-Alexander University Erlangen-Nürnberg, his continuous advice, and support. Without him, this thesis would not exist. I would also like to thank Zeno Geradts, for agreeing to be the second reviewer to this thesis, and for the stimulating discussions we had while meeting at conferences — I’m looking forward to the next. I also thank my colleagues at the Security Research Group, for a cheerful and friendly working atmosphere. In addition, I want to thank (in alphabetical order): Johannes Bauer for proof-reading parts of this thesis, recommending the Grammarly grammar checker and, last but not least, collaborating on the DDR3 descrambling attack; Andreas Dewald for helpful input to the formalization of the essential data theory, proof-reading publications this thesis is based on, and being my group-leader for my first 1.5 years of research; Christian Moch for interesting discussions, sharing ideas, the deathmoch exploitandproof-readingthisthesis;TiloMüllerfortheLATEXtemplatethisdissertationstartedout tobebasedon,proof-reading,advisingandcollaboratingonpublicationsthisthesisisbasedon,and being my group-leader for the last year of research for this thesis (even though he is not a forensic guy himself); Andreas for proof-reading parts of this thesis; Johannes Stüttgen for the hint to the Academic-Writing-Checkproject;theanonymousreviewersofthepublicationsthisthesisisbasedon. Corporate acknowledgments: This work was supported by the online study program Master Digitale Forensik, the German Federal Ministry of Education and Research (BMBF) via the project Open Competence Center for Cyber Security (Open C3S), the German Research Foundation (DFG) as part of the Transregional Collaborative Research Centre “Invasive Computing” (SFB/TR 89) and the German Federal Ministry of Education and Research (BMBF) via the project Parallelized Application Detection in Overlays for Firewalls (Padiofire). Contents 1 Introduction 1 1.1 Contributions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2 Background 8 2.1 Forensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.1.1 Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.1.2 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2 Anti-forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2.1 Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.2 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.3 Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3 Persistent data acquisition (from hard drives) 15 3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.1.1 HDD anatomy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.1.2 HDD firmware analysis software . . . . . . . . . . . . . . . . . . . . . . . . 18 3.1.3 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.1.4 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2 Hard disk firmware bootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2.1 Compromising . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.2.2 Interfering with data acquisition . . . . . . . . . . . . . . . . . . . . . . . . 20 3.2.3 Detection (in EEPROM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2.4 Subverting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.2.5 Investigating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3 Overlay/module-based hard disk firmware rootkit . . . . . . . . . . . . . . . . . . . 28 3.3.1 Verifying overlays/modules . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.3.2 Memory analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.4 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.4.1 Compromise in EEPROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.4.2 Compromise in Service Area . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.4.3 Compromised controller hardware . . . . . . . . . . . . . . . . . . . . . . . . 31 3.4.4 SSDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.5 Conclusion and future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 i Contents 4 Memory acquisition evaluation 35 4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.1.1 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.1.2 Contribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.1.3 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2 Background: Criteria for forensically sound memory snapshots . . . . . . . . . . . 37 4.2.1 Atomicity of a snapshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2.2 Integrity of a snapshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.3 Black-box measurement methodology. . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.3.1 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.3.2 Estimating atomicity and integrity . . . . . . . . . . . . . . . . . . . . . . . 38 4.3.3 Intuitive examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.4 Practical constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.4 Experiments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.4.1 Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.4.2 Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.4.3 Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.4.4 Analyzed methods and tools . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.5 Results. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.5.1 Measurement accuracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.5.2 Individual results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.5.3 Atomicity and integrity comparison . . . . . . . . . . . . . . . . . . . . . . 48 4.5.4 Anti-forensic resilience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 4.6 Conclusions and future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5 Memory acquisition (via cold boot attacks) 51 5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5.1.1 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.1.2 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.2 Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.2.1 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.2.2 Test data placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5.2.3 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.2.4 Experiment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.3 Observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 5.3.1 Ground state patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 5.3.2 Cached data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 5.4 Results. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.4.1 Remanence effect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.4.2 Temperature and RAM remanence . . . . . . . . . . . . . . . . . . . . . . . . 61 5.4.3 RAM transplantation attacks . . . . . . . . . . . . . . . . . . . . . . . . . . 63 5.5 Bypassing countermeasures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 5.5.1 Descrambling DDR3 memory . . . . . . . . . . . . . . . . . . . . . . . . . . 65 5.5.2 RAM reset on boot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5.5.3 Locking the boot process . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5.5.4 Temperature detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 5.5.5 0x7c00 defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 5.6 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 5.6.1 CPU-bound encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 5.6.2 RAM encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 5.7 Conclusion and future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 ii Contents 6 Essential data and anti-forensics 71 6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.1.1 Problem statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.1.2 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.1.3 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 6.2 Definition of essential data by Carrier and its problems. . . . . . . . . . . . . . . . 73 6.2.1 Problem 1: Definition depends on assumed basic functionality. . . . . . . . 74 6.2.2 Problem 2: Definition depends on application . . . . . . . . . . . . . . . . . 75 6.2.3 Problem 3: Definition cannot deal with redundant information . . . . . . . 75 6.3 What is essential data? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.4 Evaluation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.4.1 DOS/MBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 6.4.2 GPT header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.5 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.5.1 Usefulness of new definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.5.2 Trust hierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.5.3 Evidence hierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.6 Conclusions and future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 7 Virtual memory analysis (on Windows NT) 85 7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.1.2 Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 7.1.3 Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 7.2 Grey-box virtual address translation analysis . . . . . . . . . . . . . . . . . . . . . 86 7.2.1 Scheme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 7.2.2 Test data generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 7.2.3 Inferring the virtual address translation . . . . . . . . . . . . . . . . . . . . 88 7.3 Windows NT x86 and x64 virtual memory overview . . . . . . . . . . . . . . . . . 89 7.3.1 Pagefile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 7.3.2 Page table entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7.3.3 Virtual address translation . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7.4 Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 7.4.1 Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 7.4.2 Pagefile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 7.5 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 7.5.1 Finding DirectoryTableBase . . . . . . . . . . . . . . . . . . . . . . . . . . 96 7.5.2 Reconstructing the virtual address space . . . . . . . . . . . . . . . . . . . . 97 7.5.3 Analyzing the virtual address space . . . . . . . . . . . . . . . . . . . . . . 97 7.6 Evaluation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 7.6.1 Problem cases of virtual memory analysis . . . . . . . . . . . . . . . . . . . 98 7.6.2 Synthetic data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 7.6.3 Real life data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 7.7 Conclusion and future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8 Conclusion and future work 105 Bibliography 109 iii List of Figures 3.1 HDD anatomy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.2 Identifying the EEPROM of a Western Digital WD3200AAKX HDD . . . . . . . . . 21 3.3 Reading an EEPROM with an in-circuit programming clamp without desoldering . 22 3.4 Reading the EEPROM after it has been desoldered from the HDD’s PCB . . . . . 22 3.5 Holding a board in reset by pulling the processor’s reset pin . . . . . . . . . . . . . 23 3.6 Reset and ground pins to be connected for in-circuit reading from an ST31000340NS 23 3.7 Cross-comparisons of the EEPROM contents of different WD3200AAKXs . . . . . 24 3.8 Cross-comparisons of the EEPROM contents of a bootkit infected WD3200AAKXs 26 3.9 JTAG pin layout of the WD3200AAKX . . . . . . . . . . . . . . . . . . . . . . . 29 3.10 Wires soldered to the JTAG pins of a WD32000AAKX . . . . . . . . . . . . . . . . 29 3.11 A MICTOR 38 pin connector soldered to the JTAG test pads of a WD32000AAKX 29 3.12 UART pin layout of Seagate HDDs . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1 Space-time diagram of an imaging procedure creating a non-atomic snapshot . . . 37 4.2 Integrity of a snapshot with respect to a specific point in time t . . . . . . . . . . . 38 4.3 Atomicity and integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.4 Acquisition plot of pmdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.5 Memory acquisition technique comparison (acquisition plot) . . . . . . . . . . . . . 47 4.6 Memory acquisition technique comparison (acquisition density plot) . . . . . . . . 48 4.7 Each acquisition position inside an atomicity/integrity matrix . . . . . . . . . . . . 48 5.1 Abstract setup of our experiments . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5.2 RAM module covered in cooling agent . . . . . . . . . . . . . . . . . . . . . . . . . 55 5.3 Illustration of different ground state patterns . . . . . . . . . . . . . . . . . . . . . 57 5.4 Observed cache effects due to missing cache write back . . . . . . . . . . . . . . . . 58 5.5 Scrambling patterns in DDR3 systems after a cold reboot . . . . . . . . . . . . . . 60 5.6 Mona Lisa picture series as recovered after a cold boot attack . . . . . . . . . . . . 60 5.7 RAM remanence of systems A to G and system J . . . . . . . . . . . . . . . . . . . . 61 5.8 RAM remanence of systems A, B, F, G and J over time and at different temperatures 62 5.9 Beginning of “Alice’s Adventures in Wonderland” recovered from a cold boot attack 64 5.10 Scrambled storage of data and image acquisition . . . . . . . . . . . . . . . . . . . 65 6.1 Typical partition entry in partition table . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.2 Example of essential and non-essential data . . . . . . . . . . . . . . . . . . . . . . 73 7.1 Grey-box virtual address translation analysis scheme . . . . . . . . . . . . . . . . . 87 7.2 32-bit Paging PTE structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7.3 Windows NT 32-bit Paging structures . . . . . . . . . . . . . . . . . . . . . . . . . 90 7.4 x86 PAE Paging structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 7.5 x64 IA32e Paging structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 7.6 Windows NT x64 paging structures . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7.7 Windows NT Demand Zero PTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7.8 Windows NT Pagefile PTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 7.9 Windows NT Transition PTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 7.10 Windows NT Prototype PTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 iv
Description: