Создание дампов оперативной памяти в Windows

Если на компьютере включена запись отладочной информации, при падении системы в BSOD содержимое рабочей памяти будет записано в особый файл MEMORY.DMP, который затем можно будет проанализировать с помощью специальных утилит. Но необходимость создания дампа памяти может возникнуть и по другим причинам, например, с целью обнаружения в системе следов вирусного заражения и при форензике — проведении криминалистической экспертизы.


Последние случаи подразумевают создания слепка памяти в рабочей системе и последующем его изучении на другом ПК, но как создаются такие слепки и какими инструментами анализируются?

Обычно для этих целей используются специализированные утилиты вроде DumpIt или Belkasoft RAM Capturer, на худой конец сойдет и Process Explorer — инструмент более чем известный среди системных администраторов и программистов.

Создание дампа процессов в Process Explorer

Процедура создания слепка памяти в Process Explorer не отличается особой сложностью. Запустив утилиту от имени администратора, зайдите в меню View и убедитесь, что опция «Show Processes From All Users» отмечена галкой. Затем в левой колонке с древовидной структурой процессов кликните ПКМ по выбранному разделу, выберите в меню опцию «Create Dump» и укажите путь к сохраняемому файлу DMP.

Process Explorer

Правда, в Windows 7 и еще в большей мере в 8.1 и 10 с этим могут возникнуть проблемы, поскольку системные процессы в этих ОС имеют более высокий приоритет, чем процессы программ, пусть даже запущенных от имени администратора. Частичное решение проблемы могут предложить утилиты ExecTI и DevxExec, позволяющие запускать исполняемые файлы от имени Системы и TrustedInstaller, но опять же без гарантии. К тому же при использовании ExecTI может возникнуть ошибка «Расположение недоступно».

Создание дампа ОЗУ Belkasoft RAM Capturer

Тогда как Process Explorer подходит больше для создания дампов процессов с низким приоритетом, узкоспециализированная утилита Belkasoft RAM Capturer, активно используемая компьютерными криминалистами, сохраняет в дамп больше данных.

Чтобы создать в ней снимок памяти, достаточно запустить ее с правами администратора и нажать кнопку «Capture!».

Belkasoft RAM Capturer

Утилита сохраняет данные памяти в MEM-образ, открыть который можно с помощью программы от того же разработчика Belkasoft Evidence Center.

MEM-образ

Инструмент этот платный и более чем дорогостоящий, пробной версии нет, разве что вам удастся найти его в свободном доступе.

Есть менее удобный, но зато совершенно бесплатный парсер MEM-образов Volatility, если интересно, можете поискать о нём информацию в интернете.

Volatility

Форензика занятие увлекательное, так что дерзайте.

Поделиться в соц сетях:

Рекомендуемые публикации:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *