Lavoro come analista della sicurezza delle informazioni e di recente ho il compito di esaminare la risposta agli incidenti + argomenti relativi alla medicina legale. Per cominciare, sto sperimentando sul mio PC che esegue Windows 7 64 bit SP1). Ho scaricato uno strumento di analisi della memoria dal vivo chiamato Volatility e ho provato il primo comando:
python vol.py pslist -f /path/to/memory.img --profile=Win7SP1x64=
Ho ricevuto un errore che indica che non ho immagini o file per l'analisi e mi sono reso conto che non ho idea di come scaricare la memoria O / S in un file.
Ho fatto qualche ricerca su Google per strumenti come encase, helix, MDD, hBGARY ma ho trovato questi strumenti molto più complessi per le mie attuali conoscenze su questo campo. Inoltre questi strumenti non sono gratuiti.
Nota che NON sto cercando consigli per quale strumento usare, vorrei capire il processo e come fare per prendere i dump della memoria per la scientifica.