Slutsats - Molnforensik: En litteraturstudie om tekniska utmaningar och möjligheter inom IT-for

För att svara på forskningsfrågan har en systematisk litteraturstudie genomförts. I den systematiska litteraturstudien har strikta kriterier ställts för att fastställa de insamlade artiklarnas relevans till studien. En söksträng har formats genom att hämta nyckelord från forskningsfrågan för att sedan testas fram till den söksträng som gav mest relevant resultat. Totalt användes tre vetenskapliga databaser för att hämta artiklar, och för att hämta ännu fler relevanta artiklar genomfördes ett snöbollsurval. De utvalda artiklarna sammanställdes med hjälp av tematisk kodning, detta ledde till att ett resultat kunde sammanställas. Detta resultat analyserades sedan för att kunna svara på forskningsfrågan. Genom att analysera resultatet gick det att skapa en modell som innehåller identifierade utmaningar och möjligheter inom molnforensik, vilket ger svar på forskningsfrågan som ställdes:

Vilka tekniska utmaningar och möjligheter finns vid IT-forensik mot molnet?

Under kapitel 6 i figur 3 identifierades det 36 utmaningar under insamlingsfasen och i figur 4 identifierades det 22 utmaningar under analysfasen. En utmaning som hittades i flera kategorier i modellen var att datan inte är centraliserad. Denna utmaning leder till att det blir problematiskt att identifiera vart data ligger i molnet eftersom den kan vara utspridd över flera diskar och över olika geografiska områden. Det blir ännu mer komplicerat eftersom flera användare delar på samma resurser i molnet och måste isoleras från de andra användarna. I vissa fall så måste en IT-forensiker få hjälp av en molnleverantör för att extrahera data, i detta fall behöver en viss tillit till molnleverantören finnas. Om en molnleverantör skulle hjälpa till så måste beviset bli extraherat på ett sätt som behåller integriteten, tillsammans med att beviskedjan är tydlig och intakt.

Under kapitel 6 i figur 5 identifierades 18 möjligheter under insamlingsfasen och i figur 6 identifierades det 16 möjligheter under analysfasen. Det är möjligt att samla in bevis från en klients dator som anslöt sig till molnet för att sedan utföra en analys på datorn. Det finns flera artefakter som går att använda i en utredning och de kan hämtas utan en molnleverantörs hjälp. Det är möjligt att samla in och analysera en diskavbildning eller ögonblicksbild för att avgöra vad som har hänt på en virtuell maskin. Det går även att använda de traditionella verktygen för att utföra en analys på dessa. Att det är mindre möjligheter som har identifierats kan bero på att det finns utmaningar som inte har någon lösning och att ytterligare forskning behövs.

Eftersom användandet av molnet ökar och brotten med det, är det viktigt att kunna utföra en IT-forensisk utredning i molnet. Genom att utföra mer forskning inom området så skulle nya sätt att samla in data på, identifieras. Ett standardiserat sätt för att lokalisera data samt extrahera data från molnet hade hjälpt i en IT-forensisk utredning. Det finns flera olika hypervisors som fungerar på olika sätt och verktygen som används kanske inte fungerar mot alla. Ett standardiserat format på loggar hade även hjälp med en forensisk undersökning. Om ett brott har anmälts i molnet så måste en IT-forensiker kunna göra en utredning för att avgöra vad som har hänt. Denna studie har presenterat utmaningar och möjligheter som identifierades från existerande litteratur. Genom att kategorisera och skapa en mappning under kapitel 6 i figurerna 3–6, kan mappningen användas för att ge en rikare kunskap inom de utmaningar och möjligheter som finns när IT-forensik utförs mot molnet.

Referenser

Ahmed Khan, M. N., & Ullah, S. (2017). A log aggregation forensic analysis framework for cloud computing environments. Computer Fraud & Security, 2017(7), 11-16. doi:10.1016/S1361-3723(17)30060-X

Ajay Kumara, M. A., & Jaidhar, C. D. (2017). Leveraging virtual machine introspection with memory forensics to detect and characterize unknown malware using machine learning techniques at hypervisor. Digital Investigation, 23(2017), 99-123. doi:10.1016/j.diin.2017.10.004

Alex, M. E., & Kishore, R. (2017). Forensics framework for cloud computing. Computers & Electrical Engineering, 60, 193-205. doi:10.1016/j.compeleceng.2017.02.006

Ali, S. A., Memon, S., & Sahito, F. (2018). Challenges and Solutions in Cloud Forensics. ICCBDC'18:

Proceedings of the 2018 2nd International Conference on Cloud and Big Data Computing (ss.

6-10). ACM. doi:10.1145/3264560.3264565

Almulla, S., Iraqi, Y., & Jones, A. (2014). A State-Of-The-Art Review of Cloud Forensics. The Journal of Digital Forensics, Security and Law, 9(4), 1-23. doi:10.15394/jdfsl.2014.1190

Almulla, S., Iraqi, Y., & Jones, A. (2016). Digital forensic of a cloud based snapshot. 2016 Sixth International Conference on Innovative Computing Technology (INTECH) (ss. 724-729).

Dublin, Ireland : IEEE. doi:10.1109/INTECH.2016.7845140

Alobaidli, H., Nasir, Q., Iqbal, A., & Guimaraes, M. (2017). Challenges of Cloud Log Forensics. ACM SE '17: Proceedings of the SouthEast Conference, (ss. 227-230). Kennesaw GA USA.

doi:10.1145/3077286.3077302

Alqahtany, S., Clarke, N., Furnell, S., & Reich, C. (2015). Cloud Forensics: A Review of Challenges, Solutions and Open Problems. 2015 International Conference on Cloud Computing (ICCC) (ss.

1-9). Riyadh, Saudi Arabia : IEEE. doi:10.1109/CLOUDCOMP.2015.7149635

Alqahtany, S., Clarke, N., Furnell, S., & Reich, C. (2017). A forensic acquisition based upon a cluster analysis of non-volatile memory in IaaS. 2017 2nd International Conference on Anti-Cyber Crimes (ICACC) (ss. 123-128). Abha, Saudi Arabia : IEEE.

doi:10.1109/Anti-Cybercrime.2017.7905276

Berndtsson, M., Hansson, J., Olsson, B., & Lundell, B. (2008). Thesis Projects: A Guide for Students in Computer Science and Information Systems (2:a uppl.). London: Springer.

Birk, D., & Wegener, C. (2011). Technical Issues of Forensic Investigations in Cloud Computing Environments. 2011 Sixth IEEE International Workshop on Systematic Approaches to Digital Forensic Engineering (ss. 1-10). Oakland, CA, USA : IEEE. doi:10.1109/SADFE.2011.17 Braun, V., & Clarke, V. (2006). Using thematic analysis in psychology. Qualitative Research in

Psychology, 3(2), 77-101.

41 Brereton, P., Kitchenham, B. A., Budgen, D., Turner, M., & Khalil, M. (2007). Lessons from applying

the systematic literature review process. The Journal of Systems and Software, 80(4), 571-583. doi:10.1016/j.jss.2006.07.009

Brottsförebyggande rådet. (2016). It-inslag i brottsligheten och rättsväsendets förmåga att hantera dem (Rapport 2016:17).

Chung, H., Park, J., Lee, S., & Kang, C. (2012). Digital forensic investigation of cloud storage services.

Digital Investigation, 9(2), 81-95. doi:10.1016/j.diin.2012.05.015

Cox, G., Yan, Z., Bhattacharjee, A., & Ganapathy, V. (2018). Secure, Consistent, and High-Performance Memory Snapshotting. CODASPY '18: Proceedings of the Eighth ACM Conference on Data and Application Security and Privacy (ss. 236-247). New York, NY, United States: ACM.

doi:10.1145/3176258.3176325

Damshenas, M., Dehghantanha, A., Mahmoud, R., & Shamsuddin, S. b. (2012). Forensics Investigation Challenges in Cloud Computing Enviroments. Proceedings Title: 2012 International

Conference on Cyber Security, Cyber Warfare and Digital Forensic (CyberSec) (ss. 190 - 194).

Kuala Lumpur, Malaysia : IEEE. doi:10.1109/CyberSec.2012.6246092

Dykstra, J., & Sherman, A. T. (2012). Acquiring forensic evidence from infrastructure-as-a-service cloud computing: Exploring and evaluating tools, trust, and techniques. Digital Investigation, 9(2012), S90-S98. doi:10.1016/j.diin.2012.05.001

Freiling, F., Glanzmann, T., & Reiser, H. P. (2017). Characterizing loss of digital evidence due to abstraction layers. Digital Investigation, 20(2017), 107-115. doi:10.1016/j.diin.2017.01.012 Guo, H., Jin, B., & Shang, T. (2012). Forensic Investigations in Cloud Environments. 2012 International

Conference on Computer Science and Information Processing (CSIP) (ss. 248-251). Xi'an, Shaanxi, China : IEEE. doi:10.1109/CSIP.2012.6308841

Gupta, R., & Awasthi, A. (2016). Multiple hypervisor based Open Stack cloud and VM migration. 2016 6th International Conference - Cloud System and Big Data Engineering (Confluence), (ss. 130 - 134). Noida, India. doi:10.1109/CONFLUENCE.2016.7508101

Ho, S. M., Kao, D., & Wu, W.-Y. (2018). Following the breadcrumbs: Timestamp pattern identification for cloud forensics. Digital Investigation, 24(2018), 79-94. doi:10.1016/j.diin.2017.12.001 Huseinovic, A., & Mrdović, S. (2018). Comparison of computer forensics investigation models for

cloud environment. 2018 41st International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), (ss. 0850 - 0853). Opatija, Croatia . doi:10.23919/MIPRO.2018.8400157

Jesson, J. k., Matheson, L., & Lacey, F. M. (2011). Doing Your Literature Review: traditional and systematic techniques. London: SAGE Publications Ltd.

Khan, S., Gani, A., Wahab, A. W., Bagiwa, M. A., Shiraz, M., Khan, S. U., . . . Zomaya, A. Y. (2016).

Cloud Log Forensics: Foundations, State of the Art, and Future Directions. ACM Computing Surveys, 49(1), 1-42. doi:10.1145/2906149

42 Kumar, V., & Rathore, R. S. (2018). Security Issues with Virtualization in Cloud Computing. 2018

International Conference on Advances in Computing, Communication Control and Networking (ICACCCN), (ss. 487 - 491). Greater Noida (UP), India, India.

doi:10.1109/ICACCCN.2018.8748405

Kävrestad, J. (2018). Fundamentals of Digital Forensics Theory, Methods, and Real-Life Applications.

Skövde: Springer International Publishing. doi:10.1007/978-3-319-96319-8

Letavay, V., Pluskal, J., & Ryšavý, O. (2019). Network Forensic Analysis for Lawful Enforcement on Steroids, Distributed and Scalable. ECBS '19: Proceedings of the 6th Conference on the Engineering of Computer Based Systems (ss. 1-9). New YorkNYUnited States: ACM.

doi:10.1145/3352700.3352720

Lopez, E. M., Moon, S. Y., & Park, J. H. (2016). Scenario-Based Digital Forensics Challenges in Cloud Computing. Symmetry, 8(10), 1-20. doi:10.3390/sym8100107

Manral, B., Somani, G., Choo, K.-K. R., Conti, M., & Gaur, M. S. (2019). A Systematic Survey on Cloud Forensics Challenges, Solutions, and Future Directions. ACM Computing Surveys, 52(6), 1-38.

doi:10.1145/3361216

Min, T., Jianying, X., & Tao, Y. (2018). Research on Electronic Data Forensics Model Under Cloud Computing. 2018 International Conference on Smart Grid and Electrical Automation (ICSGEA), (ss. 349-353). Changsha, China . doi:10.1109/ICSGEA.2018.00093

Morioka, E., & Sharbaf, M. S. (2016). Digital forensics research on cloud computing: An investigation of cloud forensics solutions. 2016 IEEE Symposium on Technologies for Homeland Security (HST), (ss. 1-6). Waltham, MA, USA. doi:10.1109/THS.2016.7568909

NIST Cloud Computing Forensic Science Working Group. (2014). NIST Cloud Computing Forensic Science Challenges (Draft NISTIR 8006). National Institute of Standards and Technology, Department of Commerce.

Odebade, A., Welsh, T., Mthunzi, S., & Benkhelifa, E. (2017). Mitigating Anti-forensics in the Cloud via Resource-Based Privacy Preserving Activity Attribution. 2017 Fourth International Conference on Software Defined Systems (SDS) (ss. 143 - 149). Valencia, Spain : IEEE.

doi:10.1109/SDS.2017.7939155

Paré, G., & Kitsiou, S. (2017). Handbook of eHealth Evaluation: An Evidence-Based Approach. (F. Lau,

& C. Kuziemsky, Red.) Victoria, British Columbia Canada: University of Victoria.

Patil, S., Dharaskar, R., & Thakare, V. (2017). Digital Forensic in Cloud: Critical Analysis of Threats and Security in IaaS, SaaS and PaaS and Role of Cloud Service Providers. 2017 International Conference on Computing, Communication, Control and Automation (ICCUBEA), (ss. 1-7).

Pune, India. doi:10.1109/ICCUBEA.2017.8463984

Pichan, A., Lazarescu, M., & Soh, S. T. (2015). Digital Investigation. Cloud forensics: Technical challenges, solutions and comparative analysis, 13, 38-57. doi:10.1016/j.diin.2015.03.002

43 Poisel, R., Malzer, E., & Tjoa, S. (2013). Evidence and Cloud Computing: The Virtual Machine

Introspection Approach. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications, 4(1), 135-152.

R, A., Agarkhed, J., & Patil, S. (2017). Network virtualization system for security in cloud computing.

2017 11th International Conference on Intelligent Systems and Control (ISCO), (ss. 346 - 350).

Coimbatore, India. doi:10.1109/ISCO.2017.7856014

Raju, B. K., & Geethakumari, G. (2019). SNAPS: Towards building snapshot based provenance system for virtual machines in the cloud environment. Computers & Security, 86(2019), 92-111.

doi:10.1016/j.cose.2019.05.020

Rani, D. R., & Geethakumari, G. (2015). An efficient approach to forensic investigation in cloud using VM snapshots. 2015 International Conference on Pervasive Computing (ICPC) (ss. 1-5). Pune, India : IEEE. doi:10.1109/PERVASIVE.2015.7087206

Reedy, P. (2020). Interpol review of digital evidence 2016 - 2019. Forensic Science International:

Synergy. doi:10.1016/j.fsisyn.2020.01.015

Roussev, V., Ahmed, I., Barreto, A., McCulley, S., & Shanmughan, V. (2016). Cloud forensics–Tool development studies & future outlook. Digital Investigation, 18(2016), 79-95.

doi:10.1016/j.diin.2016.05.001

Ruan, K., Carthy, J., Kechadi, T., & Crosbie, M. (2011). CLOUD FORENSICS. IFIP International Conference on Digital Forensics (ss. 35-46). Orlando, FL, USA: Springer, Berlin, Heidelberg.

doi:10.1007/978-3-642-24212-0_3

Seth, A. D., & Dhanare, R. (2018). Approaches for Detection of Digital Evidence in Cloud Computing Environment. 2018 3rd International Conference for Convergence in Technology (I2CT), (ss. 1-4). Pune, India. doi:10.1109/I2CT.2018.8529806

Sibiya, G., Venter, H. S., & Fogwill, T. (2015). Digital forensics in the Cloud: The state of the art. 2015 IST-Africa Conference (ss. 1-9). Lilongwe, Malawi : IEEE.

doi:10.1109/ISTAFRICA.2015.7190540

Spiekermann, D., Keller, J., & Eggendorfer, T. (2018). Improving Lawful Interception in Virtual

Datacenters. CECC 2018: Proceedings of the Central European Cybersecurity Conference 2018 (ss. 1-6). Ljubljana, Slovenia: ACM. doi:10.1145/3277570.3277578

Wohlin, C. (2014). Guidelines for Snowballing in Systematic Literature Studies and a Replication in Software Engineering. Proceedings of the 18th international conference on evaluation and assessment in software engineering (ss. 1-10). ACM. doi:10.1145/2601248.2601268

Vojnak, D. T., Ðorđević, B. S., Timčenko, V. V., & Štrbac, S. M. (2019). Performance Comparison of the type-2 hypervisor VirtualBox and VMWare Workstation. 2019 27th Telecommunications Forum (TELFOR), (ss. 1 - 4). Belgrade, Serbia, Serbia.

doi:10.1109/TELFOR48224.2019.8971213

44 Zhou, X., Jin, Y., Zhang, H., Li, S., & Huang, X. (2016). A Map of Threats to Validity of Systematic

Literature Reviews in Software Engineering. 2016 23rd Asia-Pacific Software Engineering Conference (APSEC) (ss. 153-160). Hamilton, New Zealand : IEEE.

doi:10.1109/APSEC.2016.031

doi:10.1109/TELFOR48224.2019.8971213

Zhou, X., Jin, Y., Zhang, H., Li, S., & Huang, X. (2016). A Map of Threats to Validity of Systematic Literature Reviews in Software Engineering. 2016 23rd Asia-Pacific Software Engineering Conference (APSEC) (ss. 153-160). Hamilton, New Zealand : IEEE.

doi:10.1109/APSEC.2016.031

Bilaga A – Introduktion till molnforensik

När ett brott har anmälts där informationsteknologi är involverat så kommer en IT-forensiker undersöka om brott har begåtts eller inte genom att samla in digitala bevis för att dra slutsatser.

Molntjänster är tjänster som tillhandahålls över internet genom att använda hårdvara och mjukvara hos en molnleverantör. Molntjänster används idag över hela världen, det finns flera fördelar med att använda molntjänster men dessvärre så är detta även en miljö som kriminella kan använda för att utföra brott (Seth & Dhanare, 2018). Rani och Geethakumari (2015) anger att molnforensik möts av flera problem som försvårar en IT-forensisk undersökning. Ett problem som finns inom molnforensik är att det traditionella sättet för att utföra en IT-forensisk undersökning är svårt mot ett moln. Detta problem orsakas bland annat av den dynamiska miljön som ett moln använder sig av och att resurserna delas bland flera användare. De traditionella verktygen som används är inte heller lika applicerbara mot molnet eftersom den data som ska samlas in kan vara utspridd över flera servrar.

De verktyg som finns tillgängliga idag är anpassade för ett system, till skillnad från molnet som kan innefatta flera olika system. Eftersom många olika användare existerar i ett moln och flera olika datorresurser är integrerade tillsammans så kommer det även att vara en stor samling av data (Min et al., 2018). Det finns en bred användning av molntjänster idag och flera brott begås i molnet, därför är det viktigt att kunna extrahera och analysera den data som finns tillgängligt i molnet (Min, Jianying, & Tao, 2018). Resterande delar kommer att innehålla tekniska utmaningar och möjligheter inom molnforensik.

Tekniska utmaningar under insamlingsfasen

Analysen av arbetet resulterade i modeller där de identifierade utmaningarna och möjligheterna presenteras. Första fasen av en IT-forensisk utredning innebär insamling av data, nedan i figur 7 visas en modell över tekniska utmaningar som identifierades under insamlingsfasen.

Figur 7: Modell över tekniska utmaningar under insamlingsfasen (Författarens egen)

Under kategorin identifiering av data finns det en utmaning i att lokalisera både den geografiska platsen och även vilken lagringsenhet datan finns i. Denna lokalisering blir svårare om det är ett publikt eller ett hybridmoln som används, denna utmaning kan bli mer problematisk ju fler användare som finns och ju mer data som en molnleverantör hanterar. En utmaning som finns när datan ska identifieras är att datan inte är centraliserad, vilket kan innebära att datan kan ligga utspridd över flera lagringsutrymmen. Kategorin virtuell maskin i volatilt tillstånd innebär att en virtuell maskin kan befinna sig i ett volatilt tillstånd om inte statisk lagring har anskaffats av användaren. Detta är en utmaning om en virtuell maskin stängs av eller startas om, då kommer det inte längre vara möjligt att hämta den data som fanns på den virtuella maskinen.

I kategorin extraktion av data så finns en utmaning som innebär att den data som ska extraheras ska ske på ett sätt som inte påverkar andra användare, detta blir en utmaning då flera användare delar på en och samma disk. Datan får heller inte bli kontaminerad av de andra användarna som finns på den fysiska maskinen och användarnas personliga integritet ska bibehållas när en utredning utförs.

Om bevis behöver isoleras för att förhindra kontaminering så måste även det ske på ett sätt som inte berör andra användare. Abstraktionslager påverkar vilken data som kan hämtas. En virtuell maskin kan inte komma åt de bevis som finns på högre abstraktionslager, eftersom en virtuell maskins resurser endast körs i den virtuella maskinen, och på så sätt blir isolerad från de högre abstraktionslagren. När data ska extraheras så finns även samma utmaning som listades i kategorin identifiering av data och traditionella verktyg, vilket är att datan inte är centraliserad.

Tekniska utmaningar under analysfasen

När datan har samlats in så kommer den sedan analyseras för att avgöra vad som har hänt. Under analyseringsfasen så identifierades det flera utmaningar som presenteras nedan i figur 8.

Figur 8: Modell över tekniska utmaningar under analysfasen (Författarens egen)

Kategorin anti-forensik består av flera utmaningar som gör det problematiskt för en IT-forensisk utredning. Om en diskavbildning eller ögonblicksbild hämtas in så kan den misstänkta använda anti-forensik för att försvåra det för en IT-anti-forensiker. Det finns mjukvaror som förstör bevis, omöjliggör att datan går att återskapa och hela hårddisken kan även rensas. Det går att skapa falskt bevis som leder till att en IT-forensiker kommer att utföra en felaktig analys. Steganografi och gömd skrivning

kan användas för att gömma filer för en IT-forensiker. Även krypteringsmjukvaror kan användas som listas i kategorin kryptering, dessa mjukvaror kan användas för att förhindra arbetet för en IT-forensiker. Mjukvaror som TrueCrypt och Encrypt kan installeras på en virtuell maskin för att kryptera och göra data oåtkomlig. Vissa molnleverantörer har även en funktion där datan som ska läggas upp på molnet krypteras hos en användare innan uppladdning sker.

Kategorin tidslinje innefattar utmaningar som existerar där en tidslinje behöver framkallas. Flera fysiska maskiner i molnet kan vara utspridda över flera geografiska platser, detta kan leda till att de finns i olika tidzoner. Bevis som hämtas när datan är utspridda leder till att det kommer vara svårt att skapa en tidslinje när exempelvis loggar hämtas från olika tidzoner. En virtuell maskin kan använda sig av olika källor från vart de hämtar tiden ifrån, om exempelvis en svensk person har en virtuell maskin så kan svensk tid användas. Skulle datacentret där användaren kör sin virtuella maskin använda en annan tid kan det bli problematiskt att skapa en korrelation mellan tiderna. Det är även möjligt att ändra tidstämplar på loggar och filer i ett operativsystem för att försvåra en utredning för en IT-forensiker. Att identifiera vilka loggar eller filer som har blivit ändrade är en utmaning.

I kategorin loggar så finns det flera utmaningar, en av dem är att det kan vara mycket loggar som är i olika format. När dessa loggar ska analyseras så kommer det att vara tidskrävande eftersom varje logg behöver behandlas olika. En del applikationer har möjlighet att använda olika loggformat, vilket loggformat som används beror på hur en molnleverantör har valt att implementera det. I vissa applikationer finns det inget standardiserat sätt för att skapa loggar. På en virtuell maskin så kan loggarna kan bli manipulerade av en misstänkt och på så sätt visa felaktig information för en IT-forensiker, detta är en utmaning som kan äventyra en IT-forensisk utredning. Det är möjligt att hämta nätverksloggar hos en bredbandsleverantör som kommunicerar med ett moln för att avgöra vad som har hänt, nackdelen med detta är att det kommer vara mycket trafik och det blir svårt att identifiera rätt kommunikation. Nätverkstrafiken kan även vara krypterad och oläsbar.

Tekniska möjligheter under insamlingsfasen

Det finns även möjligheter när det kommer till IT-forensik mot molnet. Möjligheter som identifierades ur litteratur under insamlingsfasen visas nedan i figur 9.

Figur 9: Modell över tekniska möjligheter under insamlingsfasen (Författarens egen)

kategorin bevis på en klient går det att extrahera bevis från klienten som anslöt sig till molnet. Detta är en möjlighet eftersom molnet oftast nås genom en webbläsare av en användare eller av en applikation från molnleverantören. Genom att samla in data från användarens dator kan det hjälpa till i en utredning för att avgöra vad som har hänt. I kategorin integritet på bevis är det möjligt att isolera en virtuell maskin för att förhindra att bevis blir kontaminerat av de andra användarna och på så sätt minska chansen för att integriteten ska brytas.

En ögonblicksbild är ett fungerande sätt för att hämta en virtuell maskin för att sedan analysera ögonblicksbilden. Med hjälp av en ögonblicksbild går det att återskapa en virtuell miljö tillsammans med lagring och minne. Finns det ingen ögonblicksbild tillgänglig så går det att skapa en ögonblicksbild på en virtuell maskin som antingen är påslagen eller avstängd. En annan positiv sak med en ögonblicksbild är att flera molnleverantörer och hypervisors erbjuder det. I kategorin statisk borttagna data finns det en möjlighet att identifiera och återskapa borttagna data genom att se över

In document Molnforensik: En litteraturstudie om tekniska utmaningar och möjligheter inom IT-forensik mot molnet (Page 45-55)