Анализ дампа оперативной памяти

[D2]

Работает Криминалист!
Снимаем и Анализируем дамп оперативной памяти​

Авторство: defaultuser0​

Источник: xss.is​

---

​

Приветствую форумчане! Продолжаю делится своими знаниями преобретенными работая специалистом по информационной безопасности. В этой статье я хочу вам поведовать о таком душном процессе как снятие и анализ оперативой памяти. У вас может появится резонный вопрос - зачем, для чего, почему. Попробую обрисовать вам картину как это происходит в боевых условиях. Я возьму боевой вирус и поражу свою Виртуалку им, после я покажу процесс анализа с изъятием образа вредоноса с дампа оперативной памяти! Как всегда теория + практика.

Основы и принципы снятия и анализа дампа оперативной памяти
​

Одним из важных аспектов компьютерной безопасности является анализ оперативной памяти (ОЗУ), который позволяет выявлять и предотвращать различные угрозы. Снятие дампа ОЗУ – это процесс создания копии данных, находящихся в оперативной памяти компьютера в определенный момент времени. Эта копия может затем быть проанализирована на предмет наличия вредоносных программ, следов несанкционированного доступа или других потенциальных угроз.
Говоря про снятие дампа мы должны понимать пару аспектов
Всегоу вас может возникнуть две ситуации: когда скомпрометированный компьютер включен и когда он выключен:

• Компьютер включен и пользователь залогенин
• Компьютер выключен

1. Компьютер включен: Подключаем внешнее устройство запускаем специализированное ПО для снятие дампа
2. Компьютер выключен: Подключаем аппаратный блокиратор записи и снимаем обрзо Жесткого Диска

У каждой из этой ситуации есть свои плюсы и минусы.

Компьютер включен и пользователь залогенин: плюсы и минусы​

1. Возможность получить образ вредоносного ПО
2. Возможность изучить текущее состояние системы
3. Возможность получить доступ к данным (Пароли и тд)
4. Злоумышленник может продолжить управлять систмой и подчистить следы
5. Неправильное взаимодействие с компьютером жертвы может повредить важные данные и потереть текущее состояние оперативной памяти (важное для расследования инцидента)

Компьютер выключен: плюсы и минусы​

1. Нельза повредить данные (Возможность разом снять без проблем)
2. Нету дампа Оперативной памяти
3. Данные на жесткаче могут быть защифрованны
4. Снятие данных с жесткого диска может быть слишком долгим

Кстати про аппартаный блокиратор записи, он часто выглядит как чемоданчик шерлока холмса.

Именно такие чемоданчики есть у команды специалистов быстрого реагирования на компьютернные инциденты.

Мы теперь знаем все плюсы и минусы по снятию дампов при расследование инцедента, давайте теперь более специализрованно.
Нужно разобраться с софтом, Для снятия дампа оперативной памяти с Операционной системы Windows я буду использывать популярное ПО - FTK imager,
FTK Imager - Инструмент для создания образов дисков, который также может читать дампы памяти. FTK Imager позволяет пользователям просматривать и анализировать содержимое памяти в удобной форме.

Его непросто получить (актуальной версии), Я приложу файл под статью можете его Скачать