Thursday, February 4, 2021

HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY

HOW TO RECOVER WINDOWS PASSWORDS FROM MEMORY

MEMORY FORENSICS ACQUISITION

Step 1: Get the memory dump


Go to File > Capture Memory.
Select a destination path such as your Desktop and click Capture Memory.


Step 2: Choose a memory forensics tool

Passware Kit Forensic  is the complete encrypted electronic evidence discovery solution that reports and decrypts all password-protected items on a computer.

Step 3  Memory Analysis  Click Browse… and locate the memdump.mem file from PasswordsFromMemoryImage folder. Click Open.


Step 4  Windows User > Recovery passwords for Windows user form a memory image
The software scans   a memory image  for Windows User passwords, as shown below:
Step 5. Passware Kit extracts passwords for Windows users, as well as the list of open websites along with their login credentials:

Step 6. extracts passwords for websites from a memory image.
And displays a list of  passwords:


Credit:Passware Kit Forensic

สรุป 

  การเก็บ memory นั้นต้องมีการเชื่อมต่ออุปกรณ์ภายนอกเข้าไป ก็สุ่มเสี่ยงต่อการปนเปื้อนพยานหลักฐาน และอาจจะเกิดคำถามในชั้นศาลได้   อาจทำให้น้ำหนักของพยานหลักฐานขาดความน่าเชื่อถือได้ หากผู้ตรวจสอบไม่ได้ทำตามขั้นตอนการเก็บที่ถูกวิธี  และไม่ได้จดบันทึกรายละเอียดการเก็บหลักฐานไว้  อาจทำให้ไม่เป็นที่ยอมรับฟังในชั้นศาล  จึงเป็นประเด็นหนึ่งที่ต้องพิจารณาในการเก็บหลักฐานชนิดนี้


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 


No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...