Компания «Белкасофт» выпускает инструмент, позволяющий
криминалистам снимать образ областей оперативной памяти компьютеров, защищённых
активными системами противодействия отладке. Бесплатная программа Belkasoft RAM
Capturer поставляется в комплекте с 32- и 64-разрядными драйверами, работающими
в режиме ядра операционной системы.
Работа в
привилегированном режиме позволяет программе обходить защиту, устанавливаемую
активными системами противодействия отладке. В результате Belkasoft RAM
Capturer способен получать точный слепок областей оперативной памяти, которые
остаются недоступными для аналогичных программ, работающих в пользовательском
режиме.
Образ памяти,
полученный с помощью Belkasoft RAM Capturer, может быть проанализирован
криминалистическим продуктом компании Belkasoft Evidence Center с помощью
функции Live RAM Analysis. Исследование образа оперативной памяти компьютера
позволяет криминалистам обнаруживать данные, не попадающие на жёсткий диск,
такие как чаты, общение в социальных сетях и переговоры в онлайновых
многопользовательских играх.
Снятие
слепков оперативной памяти защищённых процессов
Многие программы,
включая популярные многопользовательские игры, а также вредоносное ПО защищают
свои процессы от исследования с помощью отладочных инструментов. В таких
программах используются активные системы противодействия отладке, способные
обнаружить и тем или иным образом предотвратить попытку других программ считать
данные из областей памяти, занимаемых защищёнными процессами. В лучшем случае
попытка использования отладчика не удаётся - вместо интересующей исследователя
информации в защищённой области обнаруживаются нули или случайные данные. В
худшем случае происходит зависание компьютера, делающее дальнейшее исследование
невозможным.
Для предотвращения
подобного развития событий необходимо использование инструментария, работающего
в привилегированном режиме ядра операционной системы. В поставку Belkasoft RAM
Capturer входят 32- и 64-разрядные версии драйверов, работающих в режиме ядра и
позволяющих корректно обрабатывать области данных, принадлежащие защищённым
процессам.
Сравнение
с аналогами
Эксперты
«Белкасофт» провели тестирование популярных продуктов для снятия образов
памяти. Были опробованы программы AccessData FTK Imager 3.0.0.1443, PMDump 1.2
и собственный продукт компании - Belkasoft RAM Capturer.
Для тестирования
была выбрана защищённая игра Karos. В процессе тестирования запускалась игра
Карос, производилась переписка с использованием внутреннего чата игры. Затем с
использованием одного из инструментов, не выходя из игры, производилась попытка
снятия образа памяти.
В результате
тестирования обнаружилось, что AccessData FTK Imager 3.0.0.1443 вместо
осмысленных данных выдал нули, а PMDump 1.2 не смог считать область памяти,
занимаемую защищённым процессом. Belkasoft RAM Capturer оказался единственным
инструментом, выдавшим корректный и точный образ данных защищённого процесса.
Системные
требования и совместимость
Belkasoft RAM
Capturer совместим со всеми 32- и 64-разрядными версиями Windows включая
Windows XP, Windows Vista, Windows 7 и 8, 2003 и 2008 Server. Программа не
требует установки и может быть запущена с внешнего флеш-накопителя.
Стоимость
Belkasoft RAM
Capturer распространяется бесплатно.
О
компании «Белкасофт»
Компания «Белкасофт»
- независимый разработчик криминалистического программного обеспечения и
продуктов по IT безопасности. Компания зарегистрирована в 2010 году в
Санкт-Петербурге. Продуктами компании пользуются такие клиенты, как СКРФ, МВД,
ФСБ, ФСКН, Министерство Юстиции, а также спецслужбы других стран - ФБР,
Секретная служба США, армия США, полицейские участки Америки, Европы, Австралии
и Новой Зеландии, аудиторский дом PricewaterhouseCoopers, компания Ernst &
Young и многие другие.
Дополнительная
информация о компании доступна по ссылке http://ru.belkasoft.com/ru/
Информация о
продукте: http://ru.belkasoft.com/ru/memory-dump
Скачать Belkasoft
RAM Capturer по ссылке http://ru.belkasoft.com/ru/bfs/download.asp
Контактная информация:
Компания «Белкасофт»
Санкт-Петербург,
Россия
http://ru.belkasoft.com/ru/
contact@belkasoft.com