Анализ оперативной памяти компьютера
Belkasoft RAM Capturer предназначен для помощи в проведении анализа оперативной памяти компьютера в режиме «офлайн». Программа предоставляет возможность снять образ памяти компьютера под управлением 32- и 64-разрядных версий Windows, сохранив его в файл для последующего анализа. Belkasoft RAM Capturer разработан для использования криминалистами, специалистами и разработчиками систем безопасности. Продукт распространяется бесплатно.
Низкоуровневый доступ к памяти в режиме ядра системы
Многие программы, включая популярные многопользовательские игры, системы безопасности, а также вредоносное ПО защищают свои процессы от исследования с помощью отладочных инструментов. В таких программах используются активные системы противодействия отладке, способные обнаружить и предотвратить попытку других программ считать данные из защищённых областей памяти. В лучшем случае попытка использования отладчика не удаётся - вместо интересующей исследователя информации в защищённой области обнаруживаются нули или случайные данные. В худшем случае происходит зависание или перезагрузка компьютера, делающие дальнейшее исследование невозможным. Для предотвращения такого развития событий использование корректного инструментария жизненно необходимо. Обойти активные виды защиты от отладки способны только инструменты, запущенные в привилегированном режиме ядра операционной системы. В поставку Belkasoft RAM Capturer входят 32- и 64-разрядные версии драйверов, работающих в режиме ядра и позволяющих корректно обрабатывать области данных, принадлежащие защищённым процессам.
Сравнение с другими инструментами
Эксперты «Белкасофт» провели тестирование популярных продуктов для снятия образов памяти. Были опробованы программы AccessData FTK Imager 3.0.0.1443, PMDump 1.2 и собственный продукт компании - Belkasoft RAM Capturer.
Для тестирования была выбрана защищённая игра Karos. В процессе тестирования запускалась игра Карос, производилась переписка с использованием внутреннего чата игры. Затем с использованием одного из инструментов, не выходя из игры, производилась попытка снятия образа памяти.
В результате тестирования обнаружилось, что AccessData FTK Imager 3.0.0.1443 вместо осмысленных данных выдал нули, а PMDump 1.2 не смог считать область памяти, занимаемую защищённым процессом. Belkasoft RAM Capturer оказался единственным инструментом, выдавшим корректный и точный образ данных защищённого процесса.
Системные требования и совместимость
Belkasoft RAM Capturer совместим со всеми 32- и 64-разрядными версиями Windows включая Windows XP, Windows Vista, Windows 7 и 8, 2003 и 2008 Server, Windows 10. Программа не требует установки и может быть запущена с внешнего флеш-накопителя.
Исследование слепков оперативной памяти
Образ памяти, полученный с помощью Belkasoft RAM Capturer, может быть проанализирован криминалистическим продуктом компании Belkasoft Evidence Center с помощью функции Live RAM Analysis. Исследование образа оперативной памяти компьютера позволяет криминалистам обнаруживать данные, не попадающие на жёсткий диск, такие как чаты, общение в социальных сетях и переговоры в онлайновых многопользовательских играх. |
