В любом компьютере, планшете или смартфоне имеется два типа памяти — постоянная энергонезависимая и временная энергозависимая. Первый тип памяти называется еще физическим, это хорошо известные всем жесткие диски, которые могут хранить записанные на них данные, не нуждаясь в подпитке энергией. Второй тип памяти, именуемой оперативной, автоматически обнуляется, как только планки RAM отключаются от электропитания.
Однако считать содержимое оперативной памяти этаким неуловимым Джо было бы неверно.
Если у вас включена гибернация, при переводе компьютера в спящий режим содержимое оперативной памяти сохраняется в файл подкачки. А еще ОЗУ может быть сохранена в образ, доступный для анализа в режиме оффлайн с помощью специальных программ вроде Volatility.
Создаются образа оперативной памяти с помощью других специальных программ, например, FTK Imager, с возможностями которой мы кратко ознакомимся. Точнее, с одной ее ключевой возможностью — захватом содержимого оперативной памяти в образ.
Программу скачиваем с сайта разработчика accessdata.com/product-download/ftk-imager-version-4-5, для скачивания нужно будет заполнить простую форму, указав имя, фамилию и почтовый адрес пользователя, необязательно настоящие.
Установив FTK Imager, запустите программу от имени администратора и выберите в меню «File» опцию «Capture Memory».
В открывшемся окошке через стандартный обзор укажите каталог сохранения образа,
отметьте флажком пункт «Crеate AD1» и нажмите «Capture Memory» для запуска процедуры создания образа памяти. Имя дампа можно оставить по умолчанию, пункт «Include pagefile» отмечаем только в том случае, если хотим включить в образ файл подкачки.
Процедура захвата займет некоторое время, в результате программой будет создано три файла: memdamp.mem, memcapture.ad1 и memcapturead1.tхt.
Если в параметрах захвата был включен файл подкачки, программой также будет создан файл pagefile.sys.
Текстовый файлик — это отчет, файл в формате AD1 — это образ, а файл MEM — дамп.
Содержимое ОЗУ сохраняется и в тот, и в другой, AD1 можно открыть с помощью плагина архиватора 7-Zip, для анализа дампа MEM подойдет линуксовая утилита Volatility, входящая в состав Kali Linux — инструментов, работу с которыми мы рассмотрим в следующий раз.
Добавить комментарий