Digital Forensics: Memory Forensic Tools

Digital Forensics: Memory Forensic Tools 


Memory forensics tools are used to acquire and/or analyze a computer's volatile memory (RAM). They are often used in incident response situations to preserve evidence in memory that would be lost when a system is shutdown, and to quickly detect stealthy malware by directly examining the operating system and other running software in memory.

Acquisition of Memory  (เครื่องมือสำหรับ ทำ Dump Memory )

FTK Imager

The Ftk Imager creates a bit-by-bit image, including unallocated space and slack space. It helps to capture the live RAM  but cannot analyze.
   ใช้คำสั่ง Capture Memory
โปรแกรม FTK Imager Lite  ของบริษัท AccessData สามารถดาวน์โหลด  FTK Imager Lite version 3.1.1  downloads เพียงแค่ดาวน์โหลดมาแล้วแตกไฟล์ใส่ลงใน Thumb drive ก็สามารถใช้งานได้เลย โดยเลือกคำสั่ง Capture Memory จากเมนูที่แสดง โดยก่อนใช้งานจะต้องรู้รหัสผ่านของผู้ดูแลระบบที่จะทำสำเนา Ram จึงจะสามารถรันโปรแกรมนี้ได้

                                                     
ตั้งชื่อ Xpmemdump.mem  เสร็จแล้วได้ไฟล์ตามภาพ

Belkasoft Live RAM Capturer

Photo credit by :oreilly: Windows Forensics Cookbook by Oleg Skulkin, Scar de Courcier

Belkasoft Live RAM Capturer  is a free volatile memory
forensic tool to capture the live RAM . It is equipped with 32-bit and 64-bit kernel drivers
allowing the tool to operate in the most privileged kernel
mode.

DumpIt
It is a very interesting tool for those who want to capture the RAM of some suspicious or under observation person. This tool can be stored on a pen drive and takes less than a minute to acquire the live RAM.

Memory Analysis Tools (เครื่องมือสำหรับวิเคราะห์ Memory)

Volatililty
Redline
YARA

Rekall 

Rekall is an advanced forensic and incident response framework. While it began life purely as a memory forensic framework, it has now evolved into a complete platform.  Rekall implements the most advanced analysis techniques in the field, while still being developed in the open, with a free and open source license. Many of the innovations implemented within Rekall have been published in peer reviewed papers .  

Rekall provides an end-to-end solution to incident responders and forensic analysts. From state of the art acquisition tools, to the most advanced open source memory analysis framework. Rekall at a glance.  Download 

Magnet AXIOM

Recover digital evidence from the most sources, including smartphones, cloud services, computers, IoT devices and third-party images.

Magnet AXIOM เป็นซอฟต์แวร์สำหรับตรวจพิสูจน์หลักฐานดิจิทัล พัฒนาโดยบริษัท Magnet Forensics ช่วยในการตรวจพิสูจน์ข้อมูลดิจิทัล เพื่อสืบค้นและวิเคราะห์ข้อมูล ที่บันทึกอยู่ในสื่อบันทึกข้อมูลดิจิทัลต่าง ๆ อีกทั้งยังสามารถสืบค้นและวิเคราะห์ข้อมูล  memory ,windows usb,ระบบโซเลียลเน็ตเวิร์ค ข้อมูลร่องรอยการใช้งานระบบโซเลียลเน็ตเวิร์คได้อีกด้วย  

Magnet AXIOM 2.0 — Memory Analysis

Evidence Sources

volatility-workbench
จาก PassMark Software  พัฒนาจาก Volatility  นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ

Volatility Workbench is a graphical user interface (GUI) for the Volatility tool. Volatility is a command line memory analysis and forensics tool for extracting artifacts from memory dumps. Volatility Workbench is free, open source and runs in Windows. 

• Acquiring Memory with Magnet RAM Capture

• HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY

• MAGNET AXIOM MEMORY ANALYSIS

•  volatility-workbench

 

 

References

https://en.wikipedia.org/wiki/List_of_digital_forensics_tools


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


สนใจสอบ Cert Accessdata 
#Memory Forensic Tools 

#Digital Forensics Certification

#Forensics

#dforensic.blogspot.com/
#DForensics-Examiner
#DFE Forensics