Speicher erfassen mit Magnet RAM Capture
Kürzlich haben wir ein neues kostenloses Tool herausgebracht, mit dem Ermittler den Speicher eines laufenden PCs zu erfassen. Kunden, die unser IEF Triage-Modul nutzen, sind mit diesem Tool bereits vertraut, da es verwendet wird, um Beweise von laufenden Systemen zu erfassen. Als wir feststellten, dass andere von unserem Tool zur RAM-Erfassung profitieren können, beschlossen wir, es der Forensik-Community kostenlos zur Verfügung zu stellen.
Arbeitsspeicheranalyse kann viele wichtige Informationen über ein System und seine Benutzer offenlegen. Es gibt viele Fälle, in denen Beweise, die im Arbeitsspeicher gespeichert sind, nie auf die Festplatte geschrieben werden und nur in den pagefile.sys und hiberfil.sys zu finden sind. Arbeitsspeicheranalyse ist in Fällen von Malware und unbefugtem Zugang wesentlich und kann unabdinglich sein, um wertvolle Beweise für fast jede PC-Ermittlung wiederherzustellen. Laufende Prozesse und Programme, aktive Netzwerkverbindungen, Registry Hives, Passwörter, Keys und entschlüsselte Dateien sind nur einige Beispiele der Beweise, die im Arbeitsspeicher zu finden sind. Viele Web-Anwendungen wie Gmail oder private/Incognito-Suchmodi speichern Daten nur auf dem Arbeitsspeicher, sodass die Beweise nicht von der Festplatte wiederhergestellt werden können.
Magnet RAM Capture unterstützt sowohl 32- als auch 64-bit-Windows-Systeme, darunter XP, Vista, 7, 8, 10, 2003, 2008 und 2012. Es erfasst den physischen Speicher schnell und hinterlässt einen kleinen Fußabdruck auf dem laufenden System, das analysiert wird. Für mein System dauerte es 3 Minuten, ein Image eines 8 GB-RAM-Speicherausdrucks zu erstellen.
Wie man ein Magnet RAM Capture ausführt
Ein Magnet RAM Capture auszuführen ist ganz unkompliziert. Das ausführbare Einzelprogramm kann sowohl von einem USB-Stick als auch von dem lokalen Gerät ausgeführt werden.
Die Nutzer müssen vor Beginn der Erfassung zwei Items spezifizieren: (1) wo die erfassten Daten gespeichert werden sollen und (2) ob die Dateien fragmentiert werden sollen oder nicht. Die Fragmentierung ist standardmäßig ausgeschaltet, doch wenn Sie das Dienstprogramm von einem FAT32-formatierten USB-Stick ausführen und der Host-RAM, den Sie erfassen, größer als 4 GB ist, empfehlen wir, Ihre Dateien zu fragmentieren, um die maximale Dateigröße unter FAT32 einzuhalten. Magnet RAM Capture erstellt einen Rohdatenspeicherausdruck mit einer .DMP-Endung. Wenn Sie das Image wieder auf USB speichern, stellen Sie sicher, dass es genug Speicherplatz für den erfassten Arbeitsspeicher gibt.
Sobald der Speicherort und die Segmentgröße ausgewählt wurden, können Sie “Start” klicken und das Hilfsprogramm beginnt, den Arbeitsspeicher des Systems zu erfassen. Ein Fortschrittbalken zeigt dem Ermittler den Status der Erfassung an. Sobald die Erfassung abgeschlossen ist, kann der erfasste Arbeitsspeicher mit Ihrem bevorzugten Arbeitsspeicher-Analysen-Tool analysiert werden.
Analyse von Arbeitsspeicher, der mit Magnet RAM Capture erfasst wurde
Da der durch das Hilfsprogramm erfasste Arbeitsspeicher in einem Rohdateiformat gespeichert wird, kann er von den meisten Arbeitsspeicher-Analysen- und Forensik-Tools wie IEF, Volatility und Mandiant Redline analysiert werden.
Um den Arbeitsspeicherausdruck mit IEF zu analysieren, wählen Sie Images auf dem Haupt-IEF-Bildschirm aus und laden Sie die Roh-.DMP-Datei, die mit Magnet RAM Capture erfasst wurde, hoch.
IEF lädt den RAM-Speicherausdruck und führt (standardmäßig) eine Suche des Sektorlevels durch, da kein Dateisystem mit den unstrukturierten Rohdaten verknüpft ist.
Sobald der Ladevorgang abgeschlossen ist, wählen Sie aus, welche Artefakte Sie in Ihre Suche einschließen wollen (nach allem zu suchen gibt die vollständigsten Ergebnisse) und beginnen Ihre Suche wie bei jeder anderen geladenen Image-Datei. Bei Abschluss der IEF-Suche zeigt der Report Viewer alle in Ihrem Arbeitsspeicherausdruck gefundenen Artefakte an. Weil die Images ausgewählt wurden, während der RAM-Speicherausdruck geladen wurde, berichtet IEF über alle Beweise, die es findet, als physischen Sektor. Wenn Sie die Ergebnisse als Datei-Offset sehen wollen, wählen Sie Dateien & Ordner, wenn Sie die .DMP-Datei laden und der von Ihnen bevorzugte Wert wird angepasst.
Physischer Arbeitsspeicher beinhaltet jede Menge Informationen, und Arbeitsspeicher aus einem laufenden System zu speichern, sollte Teil des Workflows eines jeden Ermittlers sein. Ob Sie an einer Malware-Infektion, einem Fall unbefugten Zugangs oder Diebstahl geistigen Eigentums arbeiten, im Arbeitsspeicher werden sicher Beweise gefunden, die für Ihre Ermittlung von größter Wichtigkeit sind. Magnet RAM Capture ist ein schnelles, kostenloses Tool, das Sie Ihrem Toolkit hinzufügen können. Es funktioniert großartig mit Ihren bevorzugten Arbeitsspeicher-Analyse-Tools.
Wenn Sie Fragen, Vorschläge oder Wünsche haben, wenden Sie sich gerne an mich. Sie erreichen mich per E-Mail unter jamie.mcquaid@magnetforensics.com.
Hier finden Sie einige verwandte Ressourcen, die Sie vielleicht ebenfalls interessieren:
- Magnet RAM Capture herunterladen: Jetzt herunterladen
- Weitere Informationen über IEF
- Nehmen Sie an einer IEF-Demo teil: Jetzt registrieren
Jamie McQuaid
Forensischer Berater, Magnet Forensics
