====== dumpit======
[[digital_forensics:digital_forensics|{{ :digital_forensics:icon.jpg?120|}}]]

===== context=====
dit document beschrijft de werking van dumpit, een tool om een RAM image te maken

===== installatie=====
  - as stand-alone as they come
  - [[https://github.com/thimbleweed/All-In-USB/blob/master/utilities/DumpIt/DumpIt.exe?raw=true|download]] naar een gedeelde map op je [[digital_forensics:sift_workstation|SIFT workstation]].
===== werking =====
==== algemeen ====

in hoofdzaak kan je met dumpit: 
  * een volledige dump van het geheugen maken. 
  * alle processen, threads, netwerkverbindingen, registry waarden, credentials die op dat moment in het geheugen zijn geladen, naar een bestand dumpen. 
  * dat bestand kan je dan later volledige analyseren ahv bv [[digital_forensics:volatility|Volatility]]
==== memory dump maken ====
  * meld aan als local **administrator**
  * dubbelklik. \\ de memory dump wordt aangemaakt in dezelfde map, met als naam: ''<computernaam>-<datum>-<uur>.raw''\\ Op die manier kan je eindeloos veel dumps maken zonder dat die mekaar overschrijven. 
  * weinig output van de voortgang. \\ Je kan het ook wat opvolgen op de server ahv ''watch -d du -m <image.raw>'' of met [[windows:procmon|procmon]], natuurlijk\\ maar op 't eind krijg je: succes{{ :digital_forensics:dumpit.png?400 |}}
==== memory dump bekijken====
  * zie:  [[digital_forensics:volatility|Volatility]]

==== beetje scheve bemerking ====
Dumpit is een oud stukje software (< 2011-05-03 05:23:10), maar goed, het doet het nog steeds goed, lijkt wel.\\ [[https://www.virustotal.com/gui/file/7850850434059adb8354629e2d1102a8fcc7be8b606edbb4bbb22a1060baec26/detection|Virustotal]] maakt ook geen bezwaren. 
===== meer info =====
  * [[https://www.toolwar.com/2014/01/dumpit-memory-dump-tools.html|artikel]]
{{tag>RAM image}}