Дамп оперативной памяти с помощью FTK Imager Windows

Создание дампа оперативной памяти FTK Imager Windows

В одной из наших статьей посвященных форензике мы говорили об анализе дампа памяти с помощью Volatility. Сегодня я покажу, как создать дамп оперативной памяти с помощью FTK Imager для Windows.

Еще по теме: Основы компьютерной криминалистики

Создание дампа оперативной памяти с помощью FTK Imager

Первый шаг компьютерного криминалистического анализа – сбор данных с исследуемого устройства. Информация, хранящаяся в оперативной памяти, крайне важна для криминалистической экспертизы. Для создания дампа оперативной памяти существует различные инструменты. О многих из них мы рассказывали в других публикациях (используйте поиск по сайту). В этой статье рассмотрим FTK Imager.

Скачать FTK Imager

Прежде всего, нам нужно скачать последнюю версию FTK Imager с официального сайта https://accessdata.com/product-download/ftk-imager-version-4-5.

FTKimager скачать для Windows

После нажатия на «Download now» мы попадаем на страницу, где нужно указать адрес электронной почты (для этой цели подойдет одноразовая почта) и другую информацию. На этот адрес будет отправлена ​​​​ссылка для скачивания FTK Imager,

Ссылка на скачивание FTK Imager Windows

После нажатия на «Download FTK Imager» начнется загрузка файла примерно 50 МБ.

После загрузки устанавливаем инструмент, как другие приложения Windows.

Использование FTK Imager

Находим и в меню пуск FTK Imager и запускаем от имени администратора.

Запуск FTK Imager на Windows от имени администратора

После запуска появится главное окно.

Главное окно FTK Imager Windows

Открываем меню «File» и в выпадающем меню выбираем пункт «Capture Memory».

Создание дампа оперативной памяти FTK Imager

Теперь нужно выбрать папку для сохранения дампа памяти.

Выбор местоположения образа оперативной памяти FTK Imager

После выбора папки, отметьте галочкой пункт «Create AD1».

Для создания дампа ОЗУ нажмите «Capture Memory».

FTK Imager получение дампа оперативной памяти

Процесс создания дампа ОЗУ.

Получение дампа памяти FTK Imager

После завершения дампа памяти начнется захват файла подкачки и создание файла AD1:

Создание файла AD1 FTK Imager

После завершения нажмите кнопку «Close».

Очистка оперативной памяти FTK Imager завершена

Все файлы созданы и находятся в выбранной ранее папке.

FTK Imager создал дамп оперативной памяти

Заключение

Теперь у нас есть все необходимое для дальнейшего анализа. Можно открыть образ с помощью плагина 7-Zip или исследовать полученный файл .mem с помощью инструмента Volatility на компьютере с Kali Linux (ссылка на подробную инструкцию в начале статьи).

Полезные ссылки:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Один комментарий

  1. стас

    ну и как сие применить в боевых условиях скажем так? пришли «дяди», копм вырубил — озу затерлось.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *