【推荐】常用的Windows内存镜像获取工具
内存是一种易失性存储载体,它保存处理器主动访问和存储的代码和数据,是一个临时的数据交换空间。由于计算机的内存(DRAM)需要持续供电才能保持数据可持续访问,若计算机断电后,内存的数据就会在很短的时间内消失。因此,为了有效的获取内存中的数据,需及时地进行固定。
目前,市面上获取物理内存数据的工具软件很多,例如AccessData公司的Forensic Toolkit、HBGary公司的FastDump pro、Mantech公司开发的Memory DD等等,今天小编来给大家分享一些常用的计算机内存获取工具及应用。
1、AccessData FTK Imager
AccessData FTK Imager是经典的硬盘取证工具,也可用于实时抓取内存,从中追踪溯源。AccessData FTK Imager制作内存镜像的具体操作步骤如下:
(1)在需要取证的计算机安装AccessData FTK Imager。
(2)打开AccessData FTK Imager软件,可直接点击工具栏图标(如下图)或者选择“File”→“Capture Memory”选项。
(3)在跳出的窗口点击“Browse”选择内存镜像“memdump.mem”保存路径,“memdump.mem”为软件默认的生成的镜像名称,可自行修改。
(4)点击“Capure Memory”,进行镜像制作,制作完成后可在相应的路径找到制作的内存镜像文件。
2、Belkasoft RAM Capture
Belkasoft RAM Capture提供34bit及64bit版本,无须安装,直接运行即可,但须以系统管理者权限运行,默认会将内存镜像储存在RamCapture相同路径之下.且会很贴心地以当天日期设定文件名,后缀名默认为“.mem”。操作步骤如下:
(1)双击运行“RamCapture64.exe”。
(2)选择镜像保存路径,开始制作镜像。
3、Magnet RAM Capture
MAGNET RAM Capture是由MAGNET公司开发的一款免费制作内存镜像工具,体积小、还可以对内存镜像设置分段,步骤如下。
(1)打开软件,在用户协议界面点击“I Accept” 。
(2)点击“Browse”,选择制作镜像保存的目录,并自定义文件名,后单击“start”,开始制作镜像。
4、DumpIt
DumpIt 是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来,具体步骤如下:
(1)直接双击运行 DumpIt.exe 文件
(2)输入 y 并回车,提取的镜像被保存在当前目录下,保存格式为 raw。
5、取证大师
取证大师是厦门市美亚柏科信息股份有限公司自主研发的一款电子数据取证分析软件,在软件“工具集”部分提供了“物理内存镜像获取工具”,具体操作如下:
(1)打开”取证大师“,在工具栏找到“工具集”。
(2)选择“物理内存镜像获取工具”,直接点击“打开”,便会进入选择生成内存镜像存储路径,选择输入存储的分区,然后回车,便可制作内存镜像。
6、(弘连)网探
网探(HackFindx)是由上海弘连网络科技有限公司研发的一款基于 Windows 平台的服务器远程固定的取证工具。它可以方便的将某服务器内容保存到本地硬盘,包括内存数据。
制作步骤如下:
(1)新建连接,选择连接服务器类型,并输入相应的服务器信息。
(2)连接成功后,在主窗口页面点击“内存镜像”按钮。而后在跳出的窗口中选择内存保存路径,点击“开始”即可制作内存镜像文件。
“工欲善其事,必先利其器”,以上是小编给大家分享的一些常用Windows内存获取工具及应用,希望对大家有所帮助!