Статья Снятие образа RAM памяти с windows и linux

Приветствую)
Речь в этой теме пойдет о снятии слепков оперативной памяти.
Зачем вообще нам нужен дамп оперативки? Да затем что там можно найти много интереснейших и неожиданных вещей)
Каких? Да разных))) Например ключики от криптоконтейнеров, различные сообщения из чатов и соцсетей, посещенные страницы в инете и вообще море системной информации.
Мы рассмотрим пару вариантов поучения дампа)

Для начала Windows
Вариант 1

Используем бесплатную программу от компании Belkasoft "Belkasoft Live RAM Capture"
Скачать еe можно на оф. сайте, заполняем не большую форму и ссылка приходит к Вам на электронную почту.
Что можно сказать об этой программе, работает быстро и просто, не требует установки.
Запускаем исполняемый файл, выбираем путь куда будет сохранен образ и жмем capture
dumpRAMbelkasoft.png


Вариант 2
FTK Imager
Тоже довольно шустрая программулина, в отличии от первой требует установки.
Скачивается так же как и предыдущая, приходит ссылка на электронную почту. Скачиваем, установка проходит буквально в пару кликов.
После запуска жмем File>CaptureMemory
Точно так же выбираем путь и кликакем Capture Memory
Через несколько минут слепок будет готов)
FTK.png

mem.png


Linux
Для линукса я использовал только одну программу, имя ей LiME
Это инструмент командной строки
Код:
git clone https://github.com/504ensicsLabs/LiME.git

cd LiME/src/

make

insmod lime.ko "path=image.mem format=raw"

и все, в папке будет создан файл image.lime это и есть наш дамп)

lime.png


Это далеко не все способы получения RAM памяти, есть дистрибутив имеется возможность получения дампа с помощью порта FireWire, так же возможно физическое изьятие ОЗУ с замораживанием платы.

Для исследования содержимого оперативной памяти есть огромное количество утилит, как для линукс систем, так и для windows
На этом я думаю пока что все)
 
V

Valkiria

  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
 

qvin

Green Team
05.12.2016
182
299
  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
 
N

n01n02h

  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
1. на винде Belkasoft Evidence Center, на линуксе Volatility
2. Программ для очистки множество, какую либо отдельную я не могу выделить, лучше наверное ручками
 

moeimya

Green Team
02.04.2017
36
7
Вот у меня в руках планка оперативки, как ее подключить для снятия дампа так чтобы данные не были перезаписаны чем то другим?
 
  • Нравится
Реакции: CyberX88
N

n01n02h

Вот у меня в руках планка оперативки, как ее подключить для снятия дампа так чтобы данные не были перезаписаны чем то другим?
Уже никак. ОЗУ энергозависимая память и при обесточевании все что на ней было пропадает
 
  • Нравится
Реакции: CyberX88

Byblik

One Level
23.02.2017
7
4
Уже никак. ОЗУ энергозависимая память и при обесточевании все что на ней было пропадает
Т.е. если вытащить батарею из ноутбука, то данные пропадут сами по себе, а пока ноут подпитывается батареей дамп можно снять?
 
N

n01n02h

А как же ColdBootAttack? )
Само название говорит за себя холодная перезагрузка, после отключения питания память хранится от нескольких секунд, до нескольких минут, можно увеличить время с помощью жидкого азота.
 
M

Magnit

Статья для меня была интересно, спасибо.
Про батарею с ноута интересно особенно если учесть что большинство ноутов сейчас с несъемными батареями.
Мне кажется проще выключить комп и перекурить, кофе попить, вискарика...
Или же Вы хотите сказать, что при выключенном, ноуте данные в RAM будут оставаться даже через некоторое время?
 
P

PredatorGXG

что посоветуете использовать для защиты от форензики изъятия образа RAM? На ум приходит хваленный start-ram-wiping tool или secure delete с его утилитой.

Помню писали на форуме Кали что была задумка по дефолту сделать криптование RAM при включении. Не в курсе будут ли реализовывать или нет
 
W

wittmann404

Хочу заметить что для Ftk есть портативная версия 3.1.1 или FTK LITE
 
  • Нравится
Реакции: n01n02h
Z

zxc12

Приветствую, то есть я правильно понял, если обесточить ноут (десктоп) тупо выдернув вилку из розетки, то дам снять уже не получится?
Просто у меня как раз сейчас идут прерии на эту тему с одним чуваком в телеге, он уверяет что можно просмотреть мои движения даже за предыдущий год сняв дамп оперы.

История браузера Opera хранится на жёстком диске
На счёт HDD/SSD это понятно, что если изъять жёсткий диск и проанализировать его, то можно узнать очень много, но спор идёт именно на тему дампа памяти.
Если я вечером выключил настольный компьютер, а утром включил, снял дам, проанализировал его, то там будут только данные за то время которое прошло после включения мною утром компьютера?
Я правильно понимаю?
 

valerian38

Grey Team
20.07.2016
656
763
Приветствую, то есть я правильно понял, если обесточить ноут (десктоп) тупо выдернув вилку из розетки, то дам снять уже не получится?
Просто у меня как раз сейчас идут прерии на эту тему с одним чуваком в телеге, он уверяет что можно просмотреть мои движения даже за предыдущий год сняв дамп оперы.
Для RAM используется энэргозависимая память, поэтому при отключении питания всё сбрасывается. История браузера Opera хранится на жёстком диске, поэтому если этот чувак взломал ваш ноут, то он может посмотреть из истории браузера какие ресурсы вы посещали.
На счёт HDD/SSD это понятно, что если изъять жёсткий диск и проанализировать его, то можно узнать очень много, но спор идёт именно на тему дампа памяти.
Если я вечером выключил настольный компьютер, а утром включил, снял дам, проанализировал его, то там будут только данные за то время которое прошло после включения мною утром компьютера?
Я правильно понимаю?
Да, правильно.
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
264
1 419
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov

Rybinez

Green Team
28.11.2016
10
4
Используем бесплатную программу от компании Belkasoft "Belkasoft Live RAM Capture"
многие ее хвалят, а использовал ее кто нибудь реально?
просто у меня постоянно, на разных машинах, она периодически выдает ошибку "failed to load device driver", еще не разу не завелась нормально
 
G

gudvin33

А так же не забывайте отключать файл подкачки и файл гибернации так как оттуда тоже можно достать ключи шифрования
 
Мы в соцсетях: