Статья написана с познавательной целью и не призывает к запрещенным законодательством действиям, а также не создает пропаганды. Любые действия, описанные ниже, вымышлены.
Оперативная память (RAM) — энергозависимая часть системы компьютерной памяти, в которой во время работы компьютера хранится выполняемый машинный код (программы), а также входные, выходные и промежуточные данные, обрабатываемые процессором.
Содержащиеся в полупроводниковой оперативной памяти данные доступны и сохраняются только тогда, когда на модули памяти подаётся напряжение. Выключение питания оперативной памяти, даже кратковременное, приводит к искажению либо полному разрушению хранимой информации.
Энергосберегающие режимы работы материнской платы компьютера позволяют переводить его в режим сна, что значительно сокращает уровень потребления компьютером электроэнергии. В режиме гибернации питание ОЗУ отключается. В этом случае для сохранения содержимого ОЗУ операционная система (ОС) перед отключением питания записывает содержимое ОЗУ на устройство постоянного хранения данных (как правило, жёсткий диск). Например, в ОС Windows XP содержимое памяти сохраняется в файл hiberfil.sys, в ОС семейства Unix — на специальный swap-раздел жёсткого диска.
В общем случае ОЗУ содержит программы и данные ОС и запущенные прикладные программы пользователя и данные этих программ, поэтому от объёма оперативной памяти зависит количество задач, которые одновременно может выполнять компьютер под управлением ОС.
Компьютер на месте преступления
В большинстве случаев, когда следователь находит включенный компьютер на месте преступления, он просто его выключит. В дальнейшем данный компьютер попадет в руки эксперту по исследованию компьютерной информации. Все, что может содержать в себе ценную для следствия информацию, — жесткий диск. К сожалению, при таком подходе навсегда утрачивается доступ к огромному количеству ценной информации, безвозвратно исчезающих при выключении компьютера.
Выключая компьютер, предварительно не сняв образ оперативной памяти, следственные органы могут навсегда потерять доступ к зашифрованной файловой системе, так как просто не смогут получить мастер-ключ, с помощью которого была зашифрована система.
Все, что нужно для успешного криминалистического анализа всей системы или некоторых зашифрованных разделов, — сохранить образ оперативной памяти.
Снимаем образ оперативной памяти
Снимок содержимого оперативной памяти компьютера для последующего криминалистического анализа — необходимый шаг в работе специалиста. Для этого достаточно будет простой USB-флешки, способной содержать в себе полный объем оперативной памяти, и утилиты для снятия образа.
Belkasoft RAM Capturer — программа предоставляет возможность снять образ памяти компьютера под управлением 32- и 64-разрядных версий Windows, сохранив его в файл для последующего анализа. Данная утилита разработана для использования криминалистами, специалистами и разработчиками систем безопасности.
Анализируем образ оперативной памяти
Образ памяти, полученный с помощью правильной утилиты, может быть проанализирован одним из специализированных криминалистических продуктов. Исследование образа оперативной памяти компьютера позволяет экспертам обнаруживать данные, не попадающие на жесткий диск. Например, ключи от криптоконтейнеров, переписки в чатах, история работы в браузере и многое другое.
Инструментарий выбирается экспертом в зависимости от того, что требуется обнаружить в слепке памяти. К сожалению, на сегодняшний день не существует универсальной утилиты, которая смогла бы найти абсолютно всю информацию, содержащуюся в оперативной памяти.
Для поиска чатов, сообщений, комментариев и других подобных улик, оставленных в социальных сетях или программах мгновенного обмена сообщениями, эксперты в сфере компьютерной криминалистики используют утилиту под названием Belkasoft Evidence Center .
Скачать программу можно по ссыкле ниже: https://belkasoft.com/get
Данная программа быстро извлекает цифровые улики из различных источников. Belkasoft Evidence Center автоматически проанализирует источник данных и представит наиболее значительные улики для обзора и подробного изучения.
Дальше интересней :))
