Как в Windows создать дамп оперативной памяти с помощью FTK Imager

В любом компьютере, планшете или смартфоне имеется два типа памяти — постоянная энергонезависимая и временная энергозависимая. Первый тип памяти называется еще физическим, это хорошо известные всем жесткие диски, которые могут хранить записанные на них данные, не нуждаясь в подпитке энергией. Второй тип памяти, именуемой оперативной, автоматически обнуляется, как только планки RAM отключаются от электропитания.

Однако считать содержимое оперативной памяти этаким неуловимым Джо было бы неверно.

Если у вас включена гибернация, при переводе компьютера в спящий режим содержимое оперативной памяти сохраняется в файл подкачки. А еще ОЗУ может быть сохранена в образ, доступный для анализа в режиме оффлайн с помощью специальных программ вроде Volatility.

Создаются образа оперативной памяти с помощью других специальных программ, например, FTK Imager, с возможностями которой мы кратко ознакомимся. Точнее, с одной ее ключевой возможностью — захватом содержимого оперативной памяти в образ.

Программу скачиваем с сайта разработчика accessdata.com/product-download/ftk-imager-version-4-5, для скачивания нужно будет заполнить простую форму, указав имя, фамилию и почтовый адрес пользователя, необязательно настоящие.

Установив FTK Imager, запустите программу от имени администратора и выберите в меню «File» опцию «Capture Memory».

FTK Imager

В открывшемся окошке через стандартный обзор укажите каталог сохранения образа,

FTK Imager

отметьте флажком пункт «Crеate AD1» и нажмите «Capture Memory» для запуска процедуры создания образа памяти. Имя дампа можно оставить по умолчанию, пункт «Include pagefile» отмечаем только в том случае, если хотим включить в образ файл подкачки.

FTK Imager

Процедура захвата займет некоторое время, в результате программой будет создано три файла: memdamp.mem, memcapture.ad1 и memcapturead1.tхt.

FTK Imager

Если в параметрах захвата был включен файл подкачки, программой также будет создан файл pagefile.sys.

Текстовый файлик — это отчет, файл в формате AD1 — это образ, а файл MEM — дамп.

Содержимое ОЗУ сохраняется и в тот, и в другой, AD1 можно открыть с помощью плагина архиватора 7-Zip, для анализа дампа MEM подойдет линуксовая утилита Volatility, входящая в состав Kali Linux — инструментов, работу с которыми мы рассмотрим в следующий раз.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (3 оценок, среднее: 5,00 из 5)
Загрузка...
Как в Windows 10 или 11 перенести файл подкачки на другой том или диск

Файл подкачки или как еще говорят, файл свопа может занимать на диске четыре или даже ...

Что делать, если Malwarebytes грузит процессор или память

В прошлом пользователям популярного антивируса Malwarebytes не раз приходилось периодически сталкиваться с высокой загрузкой процессора ...

Как в Windows 10 и 11 включить или отключить сжатую память

Производительность компьютера зависит от многих факторов, обуславливаемых не только объемом ресурсов компонентов «железа», но и ...

Почему не стоит отказываться от свопа в Linux даже при наличии избытка ОЗУ

Во время установки Linux при самостоятельной разбивке диска мастер попросит выделить пространство для свопа или ...

Добавить комментарий

Ваш адрес email не будет опубликован.