18 december 2012

Memory Dump Tools

Een musthave voor forensisch onderzoekers is een tool waarmee het vluchtige RAM-geheugen van een draaiende computer kan worden overgenomen. De RAMdump kan dan offline kan worden onderzocht en een schat aan gegevens opleveren.

MoonSols Dumpit

Een wel erg simpele en uitstekende tool is Dumpit. Zet de executable op een USB memorystick en voer deze met administrator rechten uit. Dumpit vraagt alleen maar om een bevestiging en maakt dan een RAW-dump rechtstreeks naar het opslagmedium waar het op geïnstalleerd staat.

Nadelen: Je ziet niet of er enige voortgang is. Aangezien een memorydump lang kan duren, weet je niet of Dumpit is vastgelopen dan wel of het bezig is een dump te maken. Dumpit laat zich ook niet met Ctrl-C onderbreken


Website: http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/

Pmem (Winpmem)

Een geheugendump maken met Winpmem gaat erg snel. Zo snel dat ik me bijna af ga vragen of alles wel gecaptured wordt. Door de uitstekende voortgangsindicator is duidelijk dat winpmem hard aan het werk is. De voortgang kan met Ctrl-C worden afgebroken. Winpmem kan dumps maken in het RAW-formaat (=default) en het Microsoft crashdump formaat. Door de getekende driver is het prima inzetbaar op alle Windows versies (ook 64 bit). Tevens werkt het goed samen met onderzoekstool Volatility. De driver van Winpmem kan ervoor zorgen dat Volatility toegang heeft tot het geheugen van een Live machine.

Het gebruik is simpel. Start winpmem.exe met als parameter een bestandsnaam (eventueel met pad) en je dump wordt gemaakt. Start uitsluitend winpmem.exe als je de verschillende opties wilt bestuderen.


Website Pmem/Winpmem: http://scudette.blogspot.nl/2012/11/the-pmem-memory-acquisition-suite.html

Windows Memory Reader

Een nieuwe ster aan het firmament is Windows Memory Reader. Ook deze tool moet met administrator rechten worden gestart. Standaard wordt een memorydump gemaakt in het Windows Crashdump formaat. Met de schakelaar -p kan er ook een RAW-dump worden gemaakt.

Ook Windows Memory Reader is simpel in gebruik. Evenals bij Pmem moet je een bestandsnaam opgeven van het dumpbestand, maar verder kan een kind de was doen. Het laat zien dat het bezig is met de dump en kan indien nodig met Ctrl-C worden onderbroken.


Website: http://cybermarshal.com/index.php/cyber-marshal-utilities/windows-memory-reader

Belkasoft Live RAM Capturer

De gerenommeerde firma Belkasoft claimt de beste memory dump tool te hebben gemaakt met Belkasoft Live RAM Capturer. Het zou speciaal gemaakt zijn om niet beïnvloed te worden door anti-forensische maatregelen (anti-debugging / anti-dumping). Het heeft een minimale grafische interface en biedt na het starten direct de opslaglocatie aan waarvan het werd gestart. De dump is uitermate snel klaar. De systeemdatum wordt gebruikt voor de bestandsnaam van de dump en vervolgdumps krijgen een volgnummer.


Website: http://www.belkasoft.com

FTK Imager

Ook met FTK Imager kunnen memorydumps worden gemaakt. Doordat FTK Imager met zijn grafische interface meer ruimte inneemt in het geheugen, is de kans groter dat cruciale gegevens in het RAM worden overschreven.

Geen opmerkingen:

Een reactie posten