Belkasoft RAM Capturer створення образу оперативної пам’яті
Аналіз оперативної пам'яті комп'ютера
Belkasoft RAM Capturer призначений для допомоги у проведенні аналізу оперативної пам'яті комп'ютера в режимі офлайн. Програма надає можливість зняти образ пам'яті комп'ютера під керуванням 32- та 64-розрядних версій Windows, зберігши його у файл для подальшого аналізу. Belkasoft RAM Capturer розроблений для використання криміналістами, фахівцями та розробниками систем безпеки. Продукт розповсюджується безкоштовно.
Низькорівневий доступ до пам'яті в режимі ядра системи
Багато програм, включаючи популярні розраховані на багато користувачів ігри, системи безпеки, а також шкідливе ПЗ захищають свої процеси від дослідження за допомогою налагоджувальних інструментів. У таких програмах використовуються активні системи протидії налагодженню, здатні виявити та запобігти спробі інших програм вважати дані із захищених областей пам'яті. У кращому випадку спроба використання відладчика не вдається - замість дослідника, що цікавить, інформації в захищеній області виявляються нулі або випадкові дані. У гіршому випадку відбувається зависання або перезавантаження комп'ютера, які роблять подальше дослідження неможливим.
Для запобігання такому розвитку подій використання коректного інструментарію життєво необхідне. Обійти активні види захисту від налагодження можуть лише інструменти, запущені в привілейованому режимі ядра операційної системи. У поставку Belkasoft RAM Capturer входять 32- та 64-розрядні версії драйверів, що працюють у режимі ядра і дозволяють коректно обробляти області даних, що належать захищеним процесам.
Порівняння з іншими інструментами
Експерти "Белкасофт" провели тестування популярних продуктів для зняття образів пам'яті. Буливипробувані програми AccessData FTK Imager 3.0.0.1443, PMDump 1.2 та власний продукт компанії – Belkasoft RAM Capturer.
Для тестування було обрано захищену гру Karos. У процесі тестування запускалася гра Карос, робилося листування з використанням внутрішнього чату гри. Потім з використанням одного з інструментів, не виходячи з гри, була спроба зняття образу пам'яті.
В результаті тестування виявилося, що AccessData FTK Imager 3.0.0.1443 замість осмислених даних видав нулі, а PMDump 1.2 не зміг вважати область пам'яті, яку займає захищений процес. Belkasoft RAM Capturer виявився єдиним інструментом, що видав коректний та точний образ даних захищеного процесу.
Системні вимоги та сумісність
Belkasoft RAM Capturer сумісний з усіма 32- і 64-розрядними версіями Windows, включаючи Windows XP, Windows Vista, Windows 7 і 8, 2003 і 2008 Server. Програма не потребує встановлення та може бути запущена із зовнішнього флеш-накопичувача.