2. Platz beim 13th Annual Volatility Plugin Contest

Wenn ein Computer von Schadsoftware befallen wird, hinterlässt diese Spuren im Arbeitsspeicher (RAM) des Systems. Speicherforensik ist die Kunst, genau diese Spuren aufzuspüren – selbst wenn die Schadsoftware keine Dateien auf die Festplatte schreibt. Sicherheitsexperten nutzen dafür spezielle Werkzeuge, um den Inhalt des Arbeitsspeichers zu durchsuchen und verdächtige Aktivitäten sichtbar zu machen.

Jan-Frederik Lang, Master-Absolvent in IT-Sicherheit der Hochschule München, hat mit seiner Arbeit beim Volatility Plugin Contest 2025 (Bekanntgabe der Ergebinsse im März 2026), den zweiten Platz belegt und ein Preisgeld von 2.000 US-Dollar gewonnen. Der Wettbewerb wird jährlich von der Volatility Foundation ausgerichtet. In diesem Jahr beteiligten sich Teams aus sieben Ländern, mit 20 Plugins.

Das Werkzeug: MemoryInvestigator
Im Rahmen seiner Masterarbeit entwickelte Lang das Tool MemoryInvestigator. Die Idee dahinter: Warum muss ein Ermittler mühsam dutzende Befehle manuell eintippen, wenn ein KI-Assistent dabei helfen kann? MemoryInvestigator kombiniert das bewährte Analyseframework Volatility 3 mit modernen KI-Sprachmodellen (Large Language Models, kurz LLMs). Das Werkzeug beantwortet Fragen zum Speicherinhalt automatisch und hilft so, Bedrohungen schneller und zuverlässiger zu erkennen.

Von der Abschlussarbeit zur wissenschaftlichen Publikation
Die Arbeit wurde nicht nur ausgezeichnet, sondern auch wissenschaftlich publiziert: Der dazugehörige Artikel „Leveraging LLMs for Memory Forensics: A Comparative Analysis of Malware Detection" (gemeinsam mit Prof. Dr. Thomas Schreck) erschien im Dezember 2025 in der Fachzeitschrift Digital Threats: Research and Practice und wurde auf der International Conference on IT Security Incident Management & IT Forensics vorgestellt: Link doi.org/10.1145/3748263.