помогите разобраться со снятием дампа оперативной памяти и не только.

[kyco4ek]

доброго времени суток! помогите выполнить и разобраться с заданием:

1) создать образ, содержащий в себе побитовую копию всех данных, хранящихся на жестком диске;

2) используя полученный образ, проанализировать историю веб-браузера Google Chrome любого из пользователей за последние сутки и сформировать отчет;

3) определить пять последних запущенных .exe файлов под любым из пользователей;

4) снять дамп оперативной памяти;

5) получить из дампа список запущенных процессов.

где копать, какие программы использовать, буду рад любой помощи и советам.

 

[LinboG]

Где это такие задания дают?

 

[Pernat1y]

Autopsy, Sleuth Kit и Volatility например.

 

[kyco4ek]

Где это такие задания дают?

при трудоустройстве на работу. товарищ обратился, уже не актуально, а меня это заинтересовало

Autopsy, Sleuth Kit и Volatility например.

можно подробнее? я посмотрел, почитал, вроде Belkasoft поможет, но платно. хотелось бы какие то пошаговые инструкции. заранее спасибо

 

[Pernat1y]

можно подробнее? я посмотрел, почитал, вроде Belkasoft поможет, но платно. хотелось бы какие то пошаговые инструкции. заранее спасибо

Совсем в гугле забанили, да?

1) создать образ, содержащий в себе побитовую копию всех данных, хранящихся на жестком диске;

man dd
Есть версия под Windows - windd.

2) используя полученный образ, проанализировать историю веб-браузера Google Chrome любого из пользователей за последние сутки и сформировать отчет;

Ссылка скрыта от гостей

Ссылка скрыта от гостей

3) определить пять последних запущенных .exe файлов под любым из пользователей;

5) получить из дампа список запущенных процессов.

pslist - Print all running processes by following the EPROCESS lists в Volatility.

4) снять дамп оперативной памяти;

Есть ProcessHacker/ProcessExplorer. Они могут делать дамп памяти приложения.
Дамп всей ОЗУ -

Ссылка скрыта от гостей