====== Návod - vytvoření obrazu operační paměti ======

Na této stránce naleznete návod na vytvoření obrazu operační paměti pro následnou analýzu. Operace související se zachycením aktuálního obsahu operační paměti po sobě zanechají vlastní stopy a degradují tak některé jiné stopy, nicméně takto získaná data zpravidla výrazně převáží nad nevýhodami. 

Zachycení obrazu operační paměti **má smysl pouze v případě, pokud při zajišťování stop přijdete k zapnutému počítači**. 

===== Návod pro Windows - FTK Imager =====
Používá-li podezřelá stanice operační systém Windows, je vhodné použít nástroj **FTK Imager lite**, což je ořezaná verze FTK Imageru, která nepotřebuje instalaci a lze ji tak spustit z USB klíčenky, CD apod. 

** Příprava mimo podezřelou stanici **
  - Stáhnětě si [[http://accessdata.com/product-download/ftk-imager-lite-version-3.1.1|FTK Imager Lite]].
  - Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.

** Postup na podezřelé stanici **
  - Vložte USB klíčenku / CD.
  - Spusťte **FTK Imager lite**.
  - V menu zvolte **File > Capture Memory ...**.
  - Pomocí **Browse** vyberte, kam se má obraz uložit.
    - Ideálně na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
    - Velikost souboru bude odpovídat velikosti zachycené paměti, ke které má aktuálně přihlášený uživatel přístup.
    - Pokud je operační paměť větší než 4GB, není možné použít médium s FAT32 (neumožňuje větší souboru než právě 4GB).
  - Vhodně pojmenujte soubor s obrazem paměti (implicitně ''memdump.mem'').
  - Zvolte **Capture Memory**.
  - Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
  - Odeberte úložiště se zachyceným obrazem paměti.
  - Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).

|**Praktický příklad:** [[cs:navody:memory-image:priklad-ftk-imager|Získání obrazu paměti pomocí FTK Imageru]]|

===== Návod pro Linux =====
  * Zatím není k dispozici (vyžaduje netriviální operace).

===== Návod pro MacOS - Mac Memory Reader =====
**Příprava mimo podezřelou stanici**
  - Stáhnětě si [[http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader|Mac Memory Reader]].
  - Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.

**Postup na podezřelé stanici**
  - Vložte USB klíčenku / CD
    * MacOS by měl nové zařízení/médium automaticky detekovat a připojit
  - Spusťte **Mac Memory Reader**
  - Otevřete příkazovou řádku
  - Přejděte do adresáře s **Mac Memory Readerem**
  - Spusťte vytvoření obrazu paměti příkazem <code>sudo ./MacMemoryReader - | split -b 2048m - <cesta/jmeno_souboru>.mach-o</code>
  - Výstupní soubor bude rozdělen na části po 2 GB (čímž se lze elegantně vyhnout omezení FAT32 na maximální velikost souboru 4GB).
  - Výstupní soubor by měl být umístěn na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
  - Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
  - Odeberte úložiště se zachyceným obrazem paměti.
  - Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).

|**Praktický příklad:** [[cs:navody:memory-image:priklad-mac-memory-reader|Získání obrazu paměti pomocí Mac Memory Reader]]|