digital_forensics:magnet_ram_capture
Table of Contents
magnet RAM Capture
context
dit document beschrijft de werking van magnet RAM Capture, een tool om een RAM image te maken
installatie
- as stand-alone as they come
- vriendelijk op je knieën gaan en via email krijg je je download link
- laat de download gerust es langs VirusTotal passeren.
Kans is groot dat er wel een paar aan de bel trekken. Een memory dump geeft je tenslotte toegang tot heel veel info.
Met een hamer kan je een kast bouwen, je kan er ook iemand mee de schedel inslaan. Ja, dat is ons wel bekend.
werking
algemeen
in hoofdzaak kan je met Magnet RAM Capture:
- een volledige dump van het geheugen maken.
- alle processen, threads, netwerkverbindingen, registry waarden, credentials die op dat moment in het geheugen zijn geladen, naar een bestand dumpen.
- dat bestand kan je dan later volledige analyseren ahv bv Volatility
memory dump maken
- kopieer het bestand naar een (voldoende grote) USB-stick en dubbelklik.
De exe draaien vanaf een UNC pad werkt wel, maar niet vanaf een gemonteerde drive letter. - geef een pad op waar je het RAW image bestand wilt opslaan en klik Start
UNC-paden worden ook hier ondersteund
memory dump bekijken
- zie: Volatility
meer info
digital_forensics/magnet_ram_capture.txt · Last modified: 2021/12/14 12:24 by koen