Návod - vytvoření obrazu operační paměti
Na této stránce naleznete návod na vytvoření obrazu operační paměti pro následnou analýzu. Operace související se zachycením aktuálního obsahu operační paměti po sobě zanechají vlastní stopy a degradují tak některé jiné stopy, nicméně takto získaná data zpravidla výrazně převáží nad nevýhodami.
Zachycení obrazu operační paměti má smysl pouze v případě, pokud při zajišťování stop přijdete k zapnutému počítači.
Návod pro Windows - FTK Imager
Používá-li podezřelá stanice operační systém Windows, je vhodné použít nástroj FTK Imager lite, což je ořezaná verze FTK Imageru, která nepotřebuje instalaci a lze ji tak spustit z USB klíčenky, CD apod.
Příprava mimo podezřelou stanici
-
Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.
Postup na podezřelé stanici
Vložte USB klíčenku / CD.
Spusťte FTK Imager lite.
V menu zvolte File > Capture Memory ….
Pomocí Browse vyberte, kam se má obraz uložit.
Ideálně na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
Velikost souboru bude odpovídat velikosti zachycené paměti, ke které má aktuálně přihlášený uživatel přístup.
Pokud je operační paměť větší než 4GB, není možné použít médium s FAT32 (neumožňuje větší souboru než právě 4GB).
Vhodně pojmenujte soubor s obrazem paměti (implicitně memdump.mem
).
Zvolte Capture Memory.
Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
Odeberte úložiště se zachyceným obrazem paměti.
Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).
Návod pro Linux
Návod pro MacOS - Mac Memory Reader
Příprava mimo podezřelou stanici
-
Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.
Postup na podezřelé stanici
Vložte USB klíčenku / CD
Spusťte Mac Memory Reader
Otevřete příkazovou řádku
Přejděte do adresáře s Mac Memory Readerem
Spusťte vytvoření obrazu paměti příkazem
sudo ./MacMemoryReader - | split -b 2048m - <cesta/jmeno_souboru>.mach-o
Výstupní soubor bude rozdělen na části po 2
GB (čímž se lze elegantně vyhnout omezení FAT32 na maximální velikost souboru 4GB).
Výstupní soubor by měl být umístěn na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
Odeberte úložiště se zachyceným obrazem paměti.
Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).