如何制作/转储用于取证分析的内存内容？

Question

我是一名信息安全分析员，最近受命研究事故反应+计算机取证相关的主题。首先，我正在运行Windows764位SP1的个人电脑上进行实验。我下载了一个名为波动性的实时内存分析工具，并尝试了第一个命令：

python vol.py pslist -f /path/to/memory.img --profile=Win7SP1x64=

我有一个错误，说我没有图像或文件进行分析，并意识到我不知道如何将实时的O/S内存转储到文件中。

我在谷歌上搜索了一些工具，比如encase，helix，MDD，hBGARY，但是我发现这些工具对于我目前对这个领域的知识来说是非常复杂的。此外，这些工具也不是免费的。

请注意，我并不是在寻找使用哪种工具的建议，我想了解这个过程，以及如何将内存转储用于取证。

Answer 1

如果你在谷歌上搜索法医内存转储工具，最早出现的工具之一就是免费的微软SysInternals工具LiveKd。螺旋也是免费的，并且有更大的功能。下载Helix并仔细查看可用的工具。

就复杂性而言，所有这些工具都提供了广泛的功能。这不应与过于复杂相混淆，因为您将只使用所需的函数。这也适用于波动性。

Answer 2

Microsoft有一篇关于这方面的知识库文章，用于调试，这将有效地提供所需的结果。

如何在Windows 2008和Windows 2008 R2中生成内核或完整内存转储文件

法医维基维护了一个很好的列表。请注意，有些工具只适用于x86，因此请确保x64也受支持(即FTK )。