Статья Снятие образа RAM памяти с windows и linux

n01n02h

n01n02h

ghostbuster
06.11.2017
647
1 075
Приветствую)
Речь в этой теме пойдет о снятии слепков оперативной памяти.
Зачем вообще нам нужен дамп оперативки? Да затем что там можно найти много интереснейших и неожиданных вещей)
Каких? Да разных))) Например ключики от криптоконтейнеров, различные сообщения из чатов и соцсетей, посещенные страницы в инете и вообще море системной информации.
Мы рассмотрим пару вариантов поучения дампа)

Для начала Windows
Вариант 1

Используем бесплатную программу от компании Belkasoft " "
Скачать еe можно на оф. сайте, заполняем не большую форму и ссылка приходит к Вам на электронную почту.
Что можно сказать об этой программе, работает быстро и просто, не требует установки.
Запускаем исполняемый файл, выбираем путь куда будет сохранен образ и жмем capture
dumpRAMbelkasoft.png


Вариант 2

Тоже довольно шустрая программулина, в отличии от первой требует установки.
Скачивается так же как и предыдущая, приходит ссылка на электронную почту. Скачиваем, установка проходит буквально в пару кликов.
После запуска жмем File>CaptureMemory
Точно так же выбираем путь и кликакем Capture Memory
Через несколько минут слепок будет готов)
FTK.png

mem.png


Linux
Для линукса я использовал только одну программу, имя ей
Это инструмент командной строки
Код:
git clone https://github.com/504ensicsLabs/LiME.git

cd LiME/src/

make

insmod lime.ko "path=image.mem format=raw"
и все, в папке будет создан файл image.lime это и есть наш дамп)

lime.png


Это далеко не все способы получения RAM памяти, есть дистрибутив имеется возможность получения дампа с помощью порта FireWire, так же возможно физическое изьятие ОЗУ с замораживанием платы.

Для исследования содержимого оперативной памяти есть огромное количество утилит, как для линукс систем, так и для windows
На этом я думаю пока что все)
 
V

Valkiria

  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
 
  • Нравится
Реакции: AVGsecure и n01n02h
qvin

qvin

Премиум
05.12.2016
182
289
  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
 
n01n02h

n01n02h

ghostbuster
06.11.2017
647
1 075
  1. Какими программами в дальнейшем читать содержимое полученных дампов памяти ?
  2. Какими программами очищать оперативную память компьютера, чтобы в них не было следов ключей криптоконтейнеров и описанные методы не работали ?
1. на винде Belkasoft Evidence Center, на линуксе Volatility
2. Программ для очистки множество, какую либо отдельную я не могу выделить, лучше наверное ручками
 
moeimya

moeimya

Active member
02.04.2017
36
6
Вот у меня в руках планка оперативки, как ее подключить для снятия дампа так чтобы данные не были перезаписаны чем то другим?
 
  • Нравится
Реакции: CyberX88
n01n02h

n01n02h

ghostbuster
06.11.2017
647
1 075
Вот у меня в руках планка оперативки, как ее подключить для снятия дампа так чтобы данные не были перезаписаны чем то другим?
Уже никак. ОЗУ энергозависимая память и при обесточевании все что на ней было пропадает
 
  • Нравится
Реакции: CyberX88
Byblik

Byblik

Member
23.02.2017
7
3
Уже никак. ОЗУ энергозависимая память и при обесточевании все что на ней было пропадает
Т.е. если вытащить батарею из ноутбука, то данные пропадут сами по себе, а пока ноут подпитывается батареей дамп можно снять?
 
n01n02h

n01n02h

ghostbuster
06.11.2017
647
1 075
А как же ColdBootAttack? )
Само название говорит за себя холодная перезагрузка, после отключения питания память хранится от нескольких секунд, до нескольких минут, можно увеличить время с помощью жидкого азота.
 
M

Magnit

Well-known member
07.03.2018
88
9
Статья для меня была интересно, спасибо.
Про батарею с ноута интересно особенно если учесть что большинство ноутов сейчас с несъемными батареями.
Мне кажется проще выключить комп и перекурить, кофе попить, вискарика...
Или же Вы хотите сказать, что при выключенном, ноуте данные в RAM будут оставаться даже через некоторое время?
 
PredatorGXG

PredatorGXG

Консультации Codeby
Премиум
03.04.2018
120
407
что посоветуете использовать для защиты от форензики изъятия образа RAM? На ум приходит хваленный start-ram-wiping tool или secure delete с его утилитой.

Помню писали на форуме Кали что была задумка по дефолту сделать криптование RAM при включении. Не в курсе будут ли реализовывать или нет
 
wittmann404

wittmann404

Active member
28.03.2016
37
8
Хочу заметить что для Ftk есть портативная версия 3.1.1 или FTK LITE
 
  • Нравится
Реакции: n01n02h
Z

zxc12

Приветствую, то есть я правильно понял, если обесточить ноут (десктоп) тупо выдернув вилку из розетки, то дам снять уже не получится?
Просто у меня как раз сейчас идут прерии на эту тему с одним чуваком в телеге, он уверяет что можно просмотреть мои движения даже за предыдущий год сняв дамп оперы.

История браузера Opera хранится на жёстком диске
На счёт HDD/SSD это понятно, что если изъять жёсткий диск и проанализировать его, то можно узнать очень много, но спор идёт именно на тему дампа памяти.
Если я вечером выключил настольный компьютер, а утром включил, снял дам, проанализировал его, то там будут только данные за то время которое прошло после включения мною утром компьютера?
Я правильно понимаю?
 
valerian38

valerian38

Grey Team
20.07.2016
655
744
Приветствую, то есть я правильно понял, если обесточить ноут (десктоп) тупо выдернув вилку из розетки, то дам снять уже не получится?
Просто у меня как раз сейчас идут прерии на эту тему с одним чуваком в телеге, он уверяет что можно просмотреть мои движения даже за предыдущий год сняв дамп оперы.
Для RAM используется энэргозависимая память, поэтому при отключении питания всё сбрасывается. История браузера Opera хранится на жёстком диске, поэтому если этот чувак взломал ваш ноут, то он может посмотреть из истории браузера какие ресурсы вы посещали.
На счёт HDD/SSD это понятно, что если изъять жёсткий диск и проанализировать его, то можно узнать очень много, но спор идёт именно на тему дампа памяти.
Если я вечером выключил настольный компьютер, а утром включил, снял дам, проанализировал его, то там будут только данные за то время которое прошло после включения мною утром компьютера?
Я правильно понимаю?
Да, правильно.
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Последнее редактирование:
Rybinez

Rybinez

Member
28.11.2016
10
4
Используем бесплатную программу от компании Belkasoft " "
многие ее хвалят, а использовал ее кто нибудь реально?
просто у меня постоянно, на разных машинах, она периодически выдает ошибку "failed to load device driver", еще не разу не завелась нормально
 
G

gudvin33

Active member
30.10.2017
25
4
А так же не забывайте отключать файл подкачки и файл гибернации так как оттуда тоже можно достать ключи шифрования
 
Мы в соцсетях: