Криминалистика оперативной памяти
Что такое Криминалистика оперативной памяти?
Криминалистика оперативной памятиДисциплина по захвату и анализу оперативной памяти системы для выявления процессов, сетевых соединений, внедрённого кода и артефактов в памяти.
Криминалистика памяти работает с энергозависимыми данными, исчезающими при выключении, и вскрывает доказательства, недоступные дисковой криминалистике: вредоносное ПО, существующее только в памяти, распакованные пейлоады, ключи шифрования, сеансы браузера, открытые учётные данные и техники сокрытия руткитов. Захват выполняется WinPmem, DumpIt, AVML или снимками гипервизора, выходные файлы — RAW-дампы или vmem VMware. Фреймворки Volatility 3 и Rekall разбирают структуры ОС, перечисляют процессы, DLL, сокеты, ульи реестра и инъекции кода. Это критично при расследованиях fileless-вредоносов и APT и дополняет дисковую и сетевую криминалистику в DFIR по NIST SP 800-86.
● Примеры
- 01
Плагин malfind Volatility 3 обнаруживает внедрённый shellcode в образе памяти.
- 02
Восстановление вывода Mimikatz атакующего из дампа RAM Windows.
● Частые вопросы
Что такое Криминалистика оперативной памяти?
Дисциплина по захвату и анализу оперативной памяти системы для выявления процессов, сетевых соединений, внедрённого кода и артефактов в памяти. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Криминалистика оперативной памяти?
Дисциплина по захвату и анализу оперативной памяти системы для выявления процессов, сетевых соединений, внедрённого кода и артефактов в памяти.
Как защититься от Криминалистика оперативной памяти?
Защита от Криминалистика оперативной памяти обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Криминалистика оперативной памяти?
Распространённые альтернативные названия: Криминалистика RAM, Анализ энергозависимой памяти.