Návod - vytvoření obrazu operační paměti

Na této stránce naleznete návod na vytvoření obrazu operační paměti pro následnou analýzu. Operace související se zachycením aktuálního obsahu operační paměti po sobě zanechají vlastní stopy a degradují tak některé jiné stopy, nicméně takto získaná data zpravidla výrazně převáží nad nevýhodami.

Zachycení obrazu operační paměti má smysl pouze v případě, pokud při zajišťování stop přijdete k zapnutému počítači.

Návod pro Windows - FTK Imager

Používá-li podezřelá stanice operační systém Windows, je vhodné použít nástroj FTK Imager lite, což je ořezaná verze FTK Imageru, která nepotřebuje instalaci a lze ji tak spustit z USB klíčenky, CD apod.

Příprava mimo podezřelou stanici

  1. Stáhnětě si FTK Imager Lite.
  2. Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.

Postup na podezřelé stanici

  1. Vložte USB klíčenku / CD.
  2. Spusťte FTK Imager lite.
  3. V menu zvolte File > Capture Memory ….
  4. Pomocí Browse vyberte, kam se má obraz uložit.
    1. Ideálně na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
    2. Velikost souboru bude odpovídat velikosti zachycené paměti, ke které má aktuálně přihlášený uživatel přístup.
    3. Pokud je operační paměť větší než 4GB, není možné použít médium s FAT32 (neumožňuje větší souboru než právě 4GB).
  5. Vhodně pojmenujte soubor s obrazem paměti (implicitně memdump.mem).
  6. Zvolte Capture Memory.
  7. Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
  8. Odeberte úložiště se zachyceným obrazem paměti.
  9. Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).
Praktický příklad: Získání obrazu paměti pomocí FTK Imageru

Návod pro Linux

  • Zatím není k dispozici (vyžaduje netriviální operace).

Návod pro MacOS - Mac Memory Reader

Příprava mimo podezřelou stanici

  1. Stáhnětě si Mac Memory Reader.
  2. Rozbalte archiv na USB klíčenku nebo jeho obsah vypalte na CD.

Postup na podezřelé stanici

  1. Vložte USB klíčenku / CD
    • MacOS by měl nové zařízení/médium automaticky detekovat a připojit
  2. Spusťte Mac Memory Reader
  3. Otevřete příkazovou řádku
  4. Přejděte do adresáře s Mac Memory Readerem
  5. Spusťte vytvoření obrazu paměti příkazem 
    sudo ./MacMemoryReader - | split -b 2048m - <cesta/jmeno_souboru>.mach-o
  6. Výstupní soubor bude rozdělen na části po 2 GB (čímž se lze elegantně vyhnout omezení FAT32 na maximální velikost souboru 4GB).
  7. Výstupní soubor by měl být umístěn na dostatečně velký flashdisk / externí disk, aby nedošlo k přepsání stop na disku podezřelé stanice.
  8. Počkejte na vytvoření obrazu (v řádu minut - podle velikosti paměti).
  9. Odeberte úložiště se zachyceným obrazem paměti.
  10. Vypněte počítač odpojením od elektřiny (ne běžným způsobem, který může aktivovat skripty na mazání stop na disku).
Praktický příklad: Získání obrazu paměti pomocí Mac Memory Reader