HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY

HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY

MEMORY FORENSICS ACQUISITION

Step 1: Get the memory dump

Go to File > Capture Memory.
Select a destination path such as your Desktop and click Capture Memory.

Step 2: Choose a memory forensics tool

Passware Kit Forensic  is the complete encrypted electronic evidence discovery solution that reports and decrypts all password-protected items on a computer.

Step 3  Memory Analysis  Click Browse… and locate the memdump.mem file from PasswordsFromMemoryImage folder. Click Open.

Step 4  Windows User > Recovery passwords for Windows user form a memory image

The software scans   a memory image  for Windows User passwords, as shown below:

Step 5. Passware Kit extracts passwords for Windows users, as well as the list of open websites along with their login credentials:

Step 6. extracts passwords for websites from a memory image.

And displays a list of  passwords:

Credit:Passware Kit Forensic

สรุป 

  การเก็บ memory นั้นต้องมีการเชื่อมต่ออุปกรณ์ภายนอกเข้าไป ก็สุ่มเสี่ยงต่อการปนเปื้อนพยานหลักฐาน และอาจจะเกิดคำถามในชั้นศาลได้   อาจทำให้น้ำหนักของพยานหลักฐานขาดความน่าเชื่อถือได้ หากผู้ตรวจสอบไม่ได้ทำตามขั้นตอนการเก็บที่ถูกวิธี  และไม่ได้จดบันทึกรายละเอียดการเก็บหลักฐานไว้  อาจทำให้ไม่เป็นที่ยอมรับฟังในชั้นศาล  จึงเป็นประเด็นหนึ่งที่ต้องพิจารณาในการเก็บหลักฐานชนิดนี้

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD