Adam Boileau hat einen netten Weg gefunden, von außen direkt auf den Speicher eines Windows-Rechners zuzugreifen: via FireWire. Das nenne ich mal kreativ, schliesslich ist Busmaster-DMA fest in der FireWire-Spezifikation verankert. Nur hat wahrscheinlich niemand daran gedacht, dass man damit auch gesperrte Windows-Büchsen öffnen kann 🙂
Nettes Detail am Rande: Adam schreibt über die Geschwindigkeit seiner Webseite: „…and I’m on the end of a very long pipe to .nz, where the internets are not even yet a series of tubes, more like a bunch of hobbits with scrabble letters.„. Diese leidvolle Erfahrung kann ich bestätigen, „das Internet“ ist in Neuseeland ziemlich langsam. Die Ursache liegt in der Monopolstellung eines großen Telekommunikationsanbieters, der als einziger Glasfaseranbindung an den nächsten Kontinent (Australien) hat. Was das Netz angeht, hinken die Kiwis der restlichen Welt um ein paar Jahre hinterher…
Dem aufmerksame H4x0r ist diese Technik spätestens sein dem 21c3 bekannt:
http://www.ccc.de/congress/2004/fahrplan/event/14.en.html
Dies hat mir zumindest auch gezeigt, wie sich die Forderung für forensische Analysen (z.B. nach einem virtuellen Einbruch auf einem Server) erfüllen läßt, auch (und insbesondere) den Hauptspeicher des kompromitierten Systems zu sichern:
http://www.dolle.net/slides/Rootkits_Forensik_UniPotsdam2005.pdf
(Seite 26)
Bisher kenne ich auch kein Rootkit, das sich nicht über einen Speicherdump via Firewire finden ließe.