RAM Captuter или сбор информации
RAM Captuter – это специальный инструмент для сбора информации из энергозависимой памяти. На сегодняшний день Belkasoft Live RAM Capturer – это мощный инструмент для получения методом извлечения информации даже при условии наличия серьезных степеней защиты. Уже разработаны специальные 32-bit и 64-bit сборки для уменьшения количества следов обнаружения во время вмешательства.
Обнаружение дампов памяти при помощи Belkasoft Live RAM Capturer совместимы со всеми версиями ОС Windows.
Дамп памяти всегда первый, поэтому во время сбора следует иметь данные о некоторой информации. Самый ценный источник данных из энергозависимых источников – это дамп памяти. В них имеются зашифрованные пароли от TrueCrypt, BitLocker, PGP Disk с учетными данными Gmail, Yahoo Mail, Hotmail; Facebook, Twitter, Google Plus и служб обмена файлами Dropbox, Flickr, SkyDrive и многие другие.
Если необходимо получить данные из захваченных дампов памяти, тогда применяют такую серьезную программу, как Belkasoft Evidence Center. Для получения паролей из зашифрованных томов применяют также Elcomsoft Forensic Disk Decryptor.
Сравнительно малый вес Belkasoft Live RAM Capturer позволяет запускать программу с обычной флешки. Существующие 32-bit и 64-bit драйвера ядра влияют на работу программы и позволяют функционировать в режиме привилегированного ядра. Сначала данные находят при помощи Belkasoft Live RAM Capturer, после чего делают анализ в Belkasoft Evidence Center Live RAM Analysis.
Belkasoft Live RAM Capturer совместим со всеми версиями ОС Windows, причем не требует стандартной установки. Достаточно запустить программу с любого флеш-накопителя и можно начать собирать необходимую информацию, даже если она в зашифрованном виде.
читать статью на:
