Снятие слепка оперативной памяти.

Мы рассмотрим пару вариантов поучения дампа

Для начала 

Windows

Вариант 1

Используем бесплатную программу от компании Belkasoft "Belkasoft Live RAM Capture"

Скачать еe можно на оф. сайте, заполняем не большую форму и ссылка приходит к Вам на электронную почту.

Что можно сказать об этой программе, работает быстро и просто, не требует установки.

Запускаем исполняемый файл, выбираем путь куда будет сохранен образ и жмем capture

Вариант 2

FTK Imager

Тоже довольно шустрая программулина, в отличии от первой требует установки.

Скачивается так же как и предыдущая, приходит ссылка на электронную почту. Скачиваем, установка проходит буквально в пару кликов.

После запуска жмем File>CaptureMemory

Точно так же выбираем путь и кликакем Capture Memory

Через несколько минут слепок будет готов.

Linux

Для линукса я использовал только одну программу, имя ей LiME

Это инструмент командной строки,код:

Код:

git clone https://github.com/504ensicsLabs/LiME.git

cd LiME/src/

make

insmod lime.ko "path=image.mem format=raw"

и все, в папке будет создан файл image.lime это и есть наш дамп

Это далеко не все способы получения RAM памяти, есть дистрибутив Ubuntu CyberPack, имеется возможность получения дампа с помощью порта FireWire, так же возможно физическое изьятие ОЗУ с замораживанием платы.

Для исследования содержимого оперативной памяти есть огромное количество утилит, как для линукс систем, так и для windows

На этом всё.