Toto je starší verze dokumentu!
Na této stránce naleznete návod na vytvoření obrazu operační paměti pro následnou analýzu. Operace související se zachycením aktuálního obsahu operační paměti po sobě zanechají vlastní stopy a degradují tak některé jiné stopy, nicméně takto získaná data zpravidla výrazně převáží nad nevýhodami.
Zachycení obrazu operační paměti má smysl pouze v případě, pokud při zajišťování stop přijdete k zapnutému počítači.
Používá-li podezřelá stanice operační systém Windows, je vhodné použít nástroj FTK Imager lite, což je ořezaná verze FTK Imageru, která nepotřebuje instalaci a lze ji tak spustit z USB klíčenky, CD apod.
Příprava mimo podezřelou stanici
Postup na podezřelé stanici
memdump.mem
).Praktický příklad: Získání obrazu paměti pomocí FTK Imageru |
Příprava mimo podezřelou stanici
Postup na podezřelé stanici
sudo ./MacMemoryReader - | split -b 2048m - <cesta/jmeno_souboru>.mach-o
Praktický příklad: Získání obrazu paměti pomocí Mac Memory Reader |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz