• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Снятие образа RAM памяти с windows и linux

Приветствую)
Речь в этой теме пойдет о снятии слепков оперативной памяти.
Зачем вообще нам нужен дамп оперативки? Да затем что там можно найти много интереснейших и неожиданных вещей)
Каких? Да разных))) Например ключики от криптоконтейнеров, различные сообщения из чатов и соцсетей, посещенные страницы в инете и вообще море системной информации.
Мы рассмотрим пару вариантов поучения дампа)

Для начала Windows
Вариант 1

Используем бесплатную программу от компании Belkasoft " "
Скачать еe можно на оф. сайте, заполняем не большую форму и ссылка приходит к Вам на электронную почту.
Что можно сказать об этой программе, работает быстро и просто, не требует установки.
Запускаем исполняемый файл, выбираем путь куда будет сохранен образ и жмем capture
dumpRAMbelkasoft.png


Вариант 2

Тоже довольно шустрая программулина, в отличии от первой требует установки.
Скачивается так же как и предыдущая, приходит ссылка на электронную почту. Скачиваем, установка проходит буквально в пару кликов.
После запуска жмем File>CaptureMemory
Точно так же выбираем путь и кликакем Capture Memory
Через несколько минут слепок будет готов)
FTK.png

mem.png


Linux
Для линукса я использовал только одну программу, имя ей LiME
Это инструмент командной строки
Код:
git clone https://github.com/504ensicsLabs/LiME.git

cd LiME/src/

make

insmod lime.ko "path=image.mem format=raw"

и все, в папке будет создан файл image.lime это и есть наш дамп)

lime.png


Это далеко не все способы получения RAM памяти, есть дистрибутив имеется возможность получения дампа с помощью порта FireWire, так же возможно физическое изьятие ОЗУ с замораживанием платы.

Для исследования содержимого оперативной памяти есть огромное количество утилит, как для линукс систем, так и для windows
На этом я думаю пока что все)
 

Rybinez

Green Team
28.11.2016
10
4
BIT
0
многие ее хвалят, а использовал ее кто нибудь реально?
просто у меня постоянно, на разных машинах, она периодически выдает ошибку "failed to load device driver", еще не разу не завелась нормально
поддержка Belkasoft'a ответила, что "Проблема вызвана ужесточением политики Microsoft по сертификации драйверов режима ядра. Это привело к тому, что Live RAM Capturer перестал работать на определённых версиях Windows." и приложили ещё одну версию RAM Capturer'a - прийду домой потестю 😕
 

leo

One Level
23.01.2016
8
1
BIT
0
Для очистки оперативки в linux достаточно ли этого:
sync; echo 1 > /proc/sys/vm/drop_caches,

нужно ли вот это:
echo -n | xclip -selection clipboard
echo -n | xclip -selection primary
echo -n | xclip -selection secondary
echo -n | xclip -selection buffer-cut

либо все не то и надо чтото еще или совсем другое?

так же интересно как получить дамп памяти Linux, ведь если это делать через Lime то необходимы root Права, а это не торт)
 

merust

New member
15.11.2019
1
0
BIT
0
Сколько времени у Вас работает LiME?
Снять 2Гб RAM с винды удается за пару секунд, независимо от используемой утилиты (коих много), а вот с Linux все не так радужно. Выбора по утилитам нет, все используют LiME, в моем случае он делает дамп со скоростью 1Мб в секунду, что является абсолютно неприемлемым. Можете что-то посоветовать?
 

Zubr

New member
12.12.2019
1
0
BIT
0
Добрый день всем, подскажите пожалуйста. Вот я сделал дамп озу на Ubuntu с помощью LiMe, а подскажите, его теперь можно будет как нибудь восстановить обратно на той же машине?
 

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
Здравы будьте, братья и сестры, дампы снимающие, в IT понимающие! Посмотрите, почитайте, комментарий дайте.
 
Последнее редактирование:
  • Нравится
Реакции: Sunnych
У

Удалённый пользователь 250334

FTK Imager - отличная программа, пользовался для снятия дампа RAM на windows, правда для windows 7 больше понравился DumpIt
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
А так же не забывайте отключать файл подкачки и файл гибернации так как оттуда тоже можно достать ключи шифрования
Очень советую к прочтению, самая свежая и полная книга на данную тему
"Practical Memory Forensics Jumpstart effective forensic analysis"
(ISBN 978-1-80107-033-1) First published: December 2022
(Svetlana Ostrovskaya & Oleg Skulkin)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!