Belkasoft Live RAM Capturer является небольшим бесплатным криминалистическим инструментом, который позволяет надежно извлекать абсолютно все содержимое энергозависимой памяти компьютера, даже если оно защищено активной анти-отладочной или анти-дампинговой системой. Также доступны отдельные 32-bit и 64-bit сборки, задача которых состоит в том, чтобы данный инструмент оставлял как можно меньше следов. Дампы памяти, обнаруженные с помощью Belkasoft Live RAM Capturer, могут быть проанализированы Live RAM Analysis в Belkasoft Evidence Center. совместим со всеми версиями и выпусками Windows, включая XP, Vista, Windows 7, 8 и 10, 2003 и 2008 Server.
Почему дамп памяти является первым, что необходимо сделать во время сбора
Дампы памяти являются ценным источником данных из энергозависимых источников информации. Дампы памяти могут содержать пароли для зашифрованных томов (TrueCrypt, BitLocker, PGP Disk), учетные данные для входа в аккаунты многих служб электронной почты и социальных сетей, таких как Gmail, Yahoo Mail, Hotmail; Facebook, Twitter, Google Plus; а также в службы обмена файлами, такие как Dropbox, Flickr, SkyDrive и т. д.
Ссылка скрыта от гостей
Чтобы извлечь непостоянные данные из уже захваченных дампов памяти, криминалистические эксперты должны использовать надлежащее программное обеспечение для анализа, такое как Belkasoft Evidence Center. Кроме того, некоторые другие инструменты могут использоваться для извлечения паролей для зашифрованных томов (например, Elcomsoft Forensic Disk Decryptor).
Создает криминалистический дамп памяти
Belkasoft Live RAM Capturer занимает очень мало места на жестком диске, и соответственно не требует установки и может быть запущен в считанные секунды с флэш-накопителя USB. В отличие от многих конкурирующих инструментов, работающих в пользовательском режиме системы, Belkasoft Live RAM Capturer оснащается 32-битными и 64-битными драйверами ядра, что позволяет инструменту работать в режиме привилегированного ядра. Дампы памяти, обнаруженные с помощью Belkasoft Live RAM Capturer, могут затем быть проанализированы в Belkasoft Evidence Center Live RAM Analysis.
Совместимость и системные требования
Belkasoft Live RAM Capturer совместим с 32-разрядными и 64-разрядными версиями Windows, включая XP, Vista, Windows 7/8/10, 2003 и 2008 Server. Инструмент не требует установки и может запускаться за считанные секунды с флэш-накопителя USB.
Перевод: Анна Давыдова
Источник:
Ссылка скрыта от гостей