====== Získání obrazu paměti pomocí nástroje Mac Memory Reader ======
Praktický příklad vytvoření obrazu operační paměti **systému MacOS** pomocí nástroje Mac Memory Reader.

===== Příprava mimo podezřelý počítač =====
  - Stáhnutí [[http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader|Mac Memory Reader]].
  - Rozbalení nástroje na flash disk / vypálení na CD.

===== Co je potřeba k zásahu =====
  * Flashdisk s Mac Memory Readerem.
  * Externí disk dostatečné velikosti.
  * Znalost rootovského hesla.

===== Operace s podezřelým počítačem =====
  - Vložení flashdisku / CD s Mac Memory Readerem.
  - Připojení externího média (externí disk, dostatečně velký flashdisk).
  - Otevření příkazového řádku (konzole).
  - Spuštění příkazu pro vytvoření obrazu <code>$ sudo ./MacMemoryReader - | split -b 2048m - /Volumes/STORAGE/pamet_jablka.mach-o`
Password:

Dumping memory regions:
available  0000000000000000 (568.00 KB)                               [WRITTEN]
ACPI_NVS   000000000008f000 (4.00 KB)                                 [WRITTEN]
available  0000000000090000 (64.00 KB)                                [WRITTEN]
LoaderData 0000000000100000 (60.00 KB)                                [WRITTEN]
available  000000000010f000 (964.00 KB)                               [WRITTEN]
LoaderData 0000000000200000 (33.77 MB)                                [WRITTEN]
RT_data    00000000023c5000 (124.00 KB)                               [WRITTEN]
...
available  000000008b7ff000 (4.00 KB)                                 [WRITTEN]
available  0000000100000000 (5.75 GB)                                 [WRITTEN]
Reported physical memory: 8589934592 bytes (8.00 GB)
Statistics for each physical memory segment type:
  reserved: 5 segments, 44212224 bytes (42.16 MB) -- assigned to unreadable device
  LoaderCode: 2 segments, 200704 bytes (196.00 KB) -- WRITTEN
  LoaderData: 3 segments, 35655680 bytes (34.00 MB) -- WRITTEN
  BS_code: 69 segments, 1970176 bytes (1.88 MB) -- WRITTEN
  BS_data: 73 segments, 41263104 bytes (39.35 MB) -- WRITTEN
  RT_code: 1 segment, 172032 bytes (168.00 KB) -- WRITTEN
  RT_data: 2 segments, 131072 bytes (128.00 KB) -- WRITTEN
  available: 16 segments, 8433991680 bytes (7.85 GB) -- WRITTEN
  ACPI_recl: 1 segment, 106496 bytes (104.00 KB) -- WRITTEN
  ACPI_NVS: 2 segments, 512000 bytes (500.00 KB) -- WRITTEN
  MemMapIO: 3 segments, 167936 bytes (164.00 KB) -- assigned to unreadable device
  Total memory written: 8514002944 bytes (7.93 GB)
  Total memory assigned to unreadable devices (not written): 44380160 bytes (42.32 MB)
  Reported memory not in the physical memory map: 31551488 bytes (30.09 MB)</code>
  - Na zvoleném výstupním zařízení se nacházejí soubory <code>/Volumes/STORAGE/pamet_jablka.mach-oaa (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oab (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oac (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oad (2.07GB)</code> Jejich spojením (v abecedním pořadí a na souborovém systému zvládajícím takto velký soubor) pak vznikne obraz celé paměti, vlastní složení není třeba provádět, to už obstarají pracovníci forenzní laboratoře.
  - Odebrání externího média a média s Mac Memory Readerem
  - Vypnutí počítače vytažením napájecího kabelu