HOW TO RECOVER Mac OS X User PASSWORDS FROM MEMORY

HOW TO RECOVER Mac OS X User PASSWORDS FROM MEMORY

MEMORY FORENSICS ACQUISITION

Step 1: Get the memory dump

                Mac OSX Memory Dump > osxpmem

Step 2: Choose a memory forensics tool

Passware Kit Forensic  is the complete encrypted electronic evidence discovery solution that reports and decrypts all password-protected items on a computer.

Step 3  Memory Analysis  Click Browse… and locate the memory-mac file from PasswordsFromMemoryImage folder. Click Open.

Step 4  Mac User > Recovery passwords for Mac user form a memory image

Step 5 : The software scans  a memory image for Mac user

And displays a list of  passwords:

Step 6  Report  > Save Results

Credit:Passware Kit Forensic

สรุป 

  การเก็บ memory นั้นต้องมีการเชื่อมต่ออุปกรณ์ภายนอกเข้าไป ก็สุ่มเสี่ยงต่อการปนเปื้อนพยานหลักฐาน และอาจจะเกิดคำถามในชั้นศาลได้   อาจทำให้น้ำหนักของพยานหลักฐานขาดความน่าเชื่อถือได้ หากผู้ตรวจสอบไม่ได้ทำตามขั้นตอนการเก็บที่ถูกวิธี  และไม่ได้จดบันทึกรายละเอียดการเก็บหลักฐานไว้  อาจทำให้ไม่เป็นที่ยอมรับฟังในชั้นศาล  จึงเป็นประเด็นหนึ่งที่ต้องพิจารณาในการเก็บหลักฐานชนิดนี้

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD