Как проанализировать оперативную память в режиме судебной экспертизы Kali Linux
Так же, как анализ памяти может быть выполнен на жестком диске, анализ памяти также может быть выполнен на модулях оперативной памяти. Поскольку оперативная память является летучей памятью, это означает, что как только она отключается, данные теряются.
Однако одной из интересных вещей, которые можно сделать с помощью анализа памяти, является возможность пользователя воссоздать, что происходило в момент возникновения проблемы, используя приложение Volatility.
Шаг 1
Подключите ваш Live Kali Linux USB к компьютеру и перезагрузите ПК.
После завершения перезагрузки вы должны увидеть загрузчик Kali.
Шаг 2
Выберите Live (режим судебной экспертизы) из списка вариантов.
Это переведет вас в режим судебной экспертизы, который содержит инструменты и пакеты, необходимые для выполнения задач судебной экспертизы системы.
Шаг 3
Нажмите Ctrl + Alt + T, чтобы открыть интерфейс терминала.
Шаг 4
Перейдите в директорию Volatility с помощью команды: cd /usr/share/volatility
Шаг 5
Ищите профиль оперативной памяти с помощью: python vol.py imageinfo -f=<местоположение файла изображения>
Заключение
Поскольку Volatility является скриптом на Python, вы можете ввести команду python vol.py -h для получения дополнительной информации.
Самое главное, что вы должны запомнить из этого руководства, это использовать полученную информацию ответственно. Получение несанкционированного доступа к чужой компьютерной системе является незаконным в соответствии с Законом о мошенничестве и злоупотреблении компьютерами.
Пожалуйста, используйте знания, полученные из этого руководства, ответственно.
Перевод руководства с ifixit.com