Skip to content

Eine Bedrohung läuft nur im Speicher, ohne Datei auf der Festplatte. Wie analysierst du sie?

Kurzantwort

Dateilose Malware lebt im Prozessspeicher (Injection, reflektives Laden, LOLBins), also sichere und analysiere ein Speicherabbild, um injizierten Code, verdächtige Module und Prozessbeziehungen zu finden. Ein Festplatten-AV-Scan und eine saubere Festplatte sagen nichts über ein Implantat im Speicher aus. Der Papierkorb ist irrelevant. Speicherforensik ist das richtige Werkzeug, wenn es keine Datei zu triagieren gibt, und du solltest sichern, bevor der Host neu gestartet wird.

Dateilose Bedrohungen sind darauf ausgelegt, die festplattenzentrierten Reflexe schwächerer Analysten zu überlisten. Der Interviewer prüft, ob du weißt, wo der Beweis tatsächlich lebt, wenn es nichts vom Dateisystem zu kopieren gibt — und ob du handelst, bevor er verdampft.

Warum Speichererfassung und -analyse richtig sind

Per Definition landet der Schadcode nie als Datei auf der Festplatte. Stattdessen läuft er im Prozessspeicher über Techniken wie Process Injection, reflektives DLL-Laden oder Living-off-the-Land-Binärdateien (LOLBins) wie PowerShell und WMI. Der einzige Ort, ihn zu finden, ist der RAM, also erfasst du ein Speicherabbild des betroffenen Hosts und analysierst es: Suche nach injiziertem Code in legitimen Prozessen, In-Memory-Modulen ohne Datei auf der Festplatte, anomalen Prozessbäumen (z. B. Office, das einen Skript-Interpreter startet), Netzwerkverbindungen und Befehlszeilen. Da Speicher flüchtig ist, erfasst du ihn vor jedem Neustart — ein Herunterfahren löscht dein einziges Artefakt. Genau dafür gibt es die Speicherforensik.

Warum die anderen Optionen falsch sind

  • Einen Festplatten-AV-Scan ausführen und ihm vertrauen. Ein Festplattenscan kann Code, der nicht auf der Festplatte liegt, nicht sehen. Ein sauberer Scan ist hier eine falsche Beruhigung — das Implantat sitzt unberührt im RAM.
  • Schlussfolgern, alles sei in Ordnung, weil die Festplatte sauber ist. Das ist die Falle, die die Malware auslösen soll. „Festplatte sauber" ist gegen eine dateilose Bedrohung bedeutungslos; das Fehlen auf der Festplatte ist Beweis der Technik, nicht der Sicherheit.
  • Den Papierkorb prüfen. Der Papierkorb enthält gelöschte Dateien. Hier ist keine Datei beteiligt, also ist das reine Leerbewegung, während flüchtige Beweise versickern.

Worauf Interviewer achten

Das Senior-Signal ist, die Erfassungsreihenfolge und das Techniken-Set zu nennen: zuerst den Speicher erfassen, weil er flüchtig ist, dann im Prozessbaum nach Injection, reflektivem Laden und LOLBin-Missbrauch suchen. Starke Kandidaten verknüpfen dies mit EDR-Telemetrie und Live-Response-Werkzeugen und betonen ausdrücklich, dass ein Neustart des Hosts zum „Reparieren" den einzigen Beweis zerstören würde — ein Fehler, den ein Junior unter Druck oft macht.

Wahrscheinliche Anschlussfragen

  • Welche Injection-Techniken (Process Hollowing, reflektive DLL, APC) würdest du im Speicherabbild suchen, und wie erscheinen sie?
  • Warum zerstört ein Neustart oder Herunterfahren des Hosts hier deinen besten Beweis, und wie bewahrst du ihn?
  • Welche LOLBins oder Living-off-the-Land-Muster ermöglichen häufig dateilose Ausführung, und wie würdest du sie erkennen?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.