HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY
MEMORY FORENSICS ACQUISITION
Step 1: Get the memory dump
Go to File > Capture Memory.
Select a destination path such as your Desktop and click Capture Memory.
Step 2: Choose a memory forensics tool
Step 3 Memory Analysis Click Browse… and locate the memdump.mem file from PasswordsFromMemoryImage folder. Click Open.
Step 5. Passware Kit extracts passwords for Windows users, as well as the list of open websites along with their login credentials:
Credit:Passware Kit Forensic
สรุป
การเก็บ memory นั้นต้องมีการเชื่อมต่ออุปกรณ์ภายนอกเข้าไป ก็สุ่มเสี่ยงต่อการปนเปื้อนพยานหลักฐาน และอาจจะเกิดคำถามในชั้นศาลได้ อาจทำให้น้ำหนักของพยานหลักฐานขาดความน่าเชื่อถือได้ หากผู้ตรวจสอบไม่ได้ทำตามขั้นตอนการเก็บที่ถูกวิธี และไม่ได้จดบันทึกรายละเอียดการเก็บหลักฐานไว้ อาจทำให้ไม่เป็นที่ยอมรับฟังในชั้นศาล จึงเป็นประเด็นหนึ่งที่ต้องพิจารณาในการเก็บหลักฐานชนิดนี้
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment