Анализ лайв форензики с энергозависимой памятью данных

Belkasoft как пользоваться [ Belkasoft Live Capture Tool,  Belkasoft Evidence Center Ultimate Tool ]

Поле компьютерного анализа криминалистики включает в себя идентификацию, извлечение, документирование и сохранение информации, которая хранится или передается в электронной или магнитной форме (то есть, цифровые данные)

Анализ криминалистики — непостоянные данные:

  • Данные, хранящиеся во временном хранилище в системной памяти (в том числе оперативное запоминающее устройство, кэш-память и встроенная память системных периферийных устройств, таких как видеокарта или сетевой адаптер), называются энергозависимыми данными, поскольку память зависит от электрической мощности его содержание.
  • Когда система выключена или если питание нарушено, данные исчезают.

Как собрать временные данные:

  • Существует множество инструментов для сбора энергозависимой памяти для живой криминалистики или реагирования на инциденты. В этом случае мы будем использовать инструмент Belkasoft Live Capture Tool.
  • После сбора живых данных RANDOM ACCESS MEMORY мы проанализируем с помощью инструмента Belkasoft Evidence Center Ultimate Tool.

Сбор лайвом энергозависимой памяти:

Запустите инструмент от администратора и запустите захват.

Формат файла дампа:

После успешного захвата живой памяти RAM, файл будет сохранен в расширении .mem.

Анализатор файлов доказательств:

Belkasoft Evidence Center Ultimate Tool для анализа энергозависимой памяти.

В качестве  инструмента форензики или ответчика по инцидентам следует записывать все, что касается физического устройства, номер случая, номер модели ноутбука или десктопа и т. д.

Нажмите Рам-изображение и введите путь к файлу .mem, который является файлом дампа в реальном времени.

Вредоносная активность на общедоступном веб-сайте

На этом рисунке злоумышленник пытается выполнить SQL инъекцию на общедоступном веб-сайте.

Анонимный Vpn

В приведенном выше рисунке злоумышленник установил и выполнил Cyberghost Vpn для скрытия IP-адреса источника.

Почтовый ящик email

Злоумышленник вошел в систему с некоторым общедоступным почтовым сервером, теперь судебный криминалист эксперт может читать сообщения электронной почты в почтовых ящиках.

Доступ к последним файлам

Атакующие получили доступ к файлам по пути к файлам. Эксперт будет иметь приоритет, чтобы исследовать этот путь на подозрительные файлы.

Картинки

Недавние изображения, загруженные с веб-сайтов, которые будут храниться в кэш-памяти.

Это относительно новая и быстрорастущая область, которую многие судебные аналитики не знают или не используют в своих интересах эти активы.

Энергозависимая память может содержать много информации, относящейся к судебному исследованию, например паролям, криптографическим ключам и другим данным.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40