Снятие образа RAM памяти с windows и linux
@webware
Приветствую)
Речь в этой теме пойдет о снятии слепков оперативной памяти.
Зачем вообще нам нужен дамп оперативки? Да затем что там можно найти много интереснейших и неожиданных вещей)
Каких? Да разных))) Например ключики от криптоконтейнеров, различные сообщения из чатов и соцсетей, посещенные страницы в инете и вообще море системной информации.
Мы рассмотрим пару вариантов поучения дампа)
Для начала Windows
Вариант 1
Используем бесплатную программу от компании Belkasoft "Belkasoft Live RAM Capture"
Скачать еe можно на оф. сайте, заполняем не большую форму и ссылка приходит к Вам на электронную почту.
Что можно сказать об этой программе, работает быстро и просто, не требует установки.
Запускаем исполняемый файл, выбираем путь куда будет сохранен образ и жмем capture
Вариант 2
Тоже довольно шустрая программулина, в отличии от первой требует установки.
Скачивается так же как и предыдущая, приходит ссылка на электронную почту. Скачиваем, установка проходит буквально в пару кликов.
После запуска жмем File>CaptureMemory
Точно так же выбираем путь и кликакем Capture Memory
Через несколько минут слепок будет готов)
Linux
Для линукса я использовал только одну программу, имя ей LiME
Это инструмент командной строки
git clone https://github.com/504ensicsLabs/LiME.git cd LiME/src/ make insmod lime.ko "path=image.mem format=raw"
и все, в папке будет создан файл image.lime это и есть наш дамп)
Это далеко не все способы получения RAM памяти, есть дистрибутив Ubuntu CyberPack, имеется возможность получения дампа с помощью порта FireWire, так же возможно физическое изьятие ОЗУ с замораживанием платы.
Для исследования содержимого оперативной памяти есть огромное количество утилит, как для линукс систем, так и для windows
На этом я думаю пока что все)