====== Návod - vytvoření obrazu operační paměti ====== Na této stránce naleznete návod na vytvoření obrazu operační paměti pro následnou analýzu. Operace související se zachycením aktuálního obsahu operační paměti po sobě zanechají vlastní stopy a degradují tak některé jiné stopy, nicméně takto získaná data zpravidla výrazně převáží nad nevýhodami. Zachycení obrazu operační paměti **má smysl pouze v případě, pokud při zajišťování stop přijdete k zapnutému počítači**. ===== Návod pro Windows - FTK Imager ===== Používá-li podezřelá stanice operační systém Windows, je vhodné použít nástroj **FTK Imager lite**, což je ořezaná verze FTK Imageru, která nepotřebuje instalaci a lze ji tak spustit z USB klíčenky, CD apod. ** Příprava mimo podezřelou stanici ** - Stáhnětě si [[http://accessdata.com/product-download/ftk-imager-lite-version-3.1.1|FTK Imager Lite]]. - Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD. ** Postup na podezřelé stanici ** - Vložte USB klíčenku / CD. - Spusťte **FTK Imager lite**. - V menu zvolte **File > Capture Memory ...**. - Pomocí **Browse** vyberte, kam se má obraz uložit. - Ideálně na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice. - Velikost souboru bude odpovídat velikosti zachycené paměti, ke které má aktuálně přihlášený uživatel přístup. - Pokud je operační paměť větší než 4GB, není možné použít médium s FAT32 (neumožňuje větší souboru než právě 4GB). - Vhodně pojmenujte soubor s obrazem paměti (implicitně ''memdump.mem''). - Zvolte **Capture Memory**. - Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti). - Odeberte úložiště se zachyceným obrazem paměti. - Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku). |**Praktický příklad:** [[cs:navody:memory-image:priklad-ftk-imager|Získání obrazu paměti pomocí FTK Imageru]]| ===== Návod pro Linux ===== * Zatím není k dispozici (vyžaduje netriviální operace). ===== Návod pro MacOS - Mac Memory Reader ===== **Příprava mimo podezřelou stanici** - Stáhnětě si [[http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader|Mac Memory Reader]]. - Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD. **Postup na podezřelé stanici** - Vložte USB klíčenku / CD * MacOS by měl nové zařízení/médium automaticky detekovat a připojit - Spusťte **Mac Memory Reader** - Otevřete příkazovou řádku - Přejděte do adresáře s **Mac Memory Readerem** - Spusťte vytvoření obrazu paměti příkazem sudo ./MacMemoryReader - | split -b 2048m - .mach-o - Výstupní soubor bude rozdělen na části po 2 GB (čímž se lze elegantně vyhnout omezení FAT32 na maximální velikost souboru 4GB). - Výstupní soubor by měl být umístěn na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice. - Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti). - Odeberte úložiště se zachyceným obrazem paměti. - Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku). |**Praktický příklad:** [[cs:navody:memory-image:priklad-mac-memory-reader|Získání obrazu paměti pomocí Mac Memory Reader]]|