Acquérir de la mémoire avec MAGNET RAM Capture
Nous avons récemment sorti un nouvel outil gratuit qui permet aux enquêteurs d’acquérir la mémoire d’un PC actif. Les clients utilisant notre module IEF Triage connaissent déjà cet outil, puisqu’il est utilisé pour acquérir des preuves à partir de systèmes actifs. Réalisant que notre outil de capture de mémoire RAM pourrait profiter à d’autres personnes, nous avons décidé de le sortir gratuitement pour la communauté de la criminalistique.
L’analyse de la mémoire peut révéler beaucoup d’informations importantes sur un système et ses utilisateurs. Il arrive souvent que des preuves stockées dans la mémoire ne soient jamais enregistrées dans le disque dur et se trouvent uniquement dans pagefile.sys ou hiberfil.sys. L’analyse de la mémoire est essentielle pour de nombreux incidents de logiciels malveillants ou d’intrusions et elle peut s’avérer indispensable pour récupérer des preuves précieuses pour presque toutes les enquêtes sur PC. Les processus et programmes en cours d’exécution, les connexions réseau actives, les ruches du registre, les mots de passe, les clés et les fichiers décryptés ne sont que quelques exemples des preuves qui peuvent être trouvées dans la mémoire. Plusieurs applications Web (comme Gmail) ou de modes de navigation privée stockeront uniquement des données dans la mémoire, ce qui signifie qu’il est alors impossible de récupérer les preuves à partir du disque dur.
Magnet RAM Capture prend en charge les systèmes Windows 32 et 64 bits, notamment XP, Vista, 7, 8, 10, 2003, 2008 et 2012. Il acquerra rapidement l’intégralité de la mémoire physique et laissera une empreinte réduite sur le système actif en cours d’analyse. Pour mon système, il a fallu environ 3 minutes pour créer une image d’un vidage de 8 Go de RAM.
Comment exécuter Magnet RAM Capture
Exécuter Magnet RAM Capture est très simple. L’exécutable autonome peut être exécuté à partir d’une clé USB ou depuis la machine locale.
Les utilisateurs devront indiquer deux éléments avant de commencer l’acquisition : (1) où enregistrer les données capturées et (2) si les fichiers devraient être fragmentés ou non. Par défaut, la fragmentation est désactivée. Cependant, si vous exécutez l’utilitaire à partir d’une clé USB au format FAT32 et que la RAM de l’hôte que vous capturez est supérieure à 4 Go, nous vous recommandons alors de fragmenter vos fichiers pour respecter la limite de taille maximale des fichiers FAT32. Magnet RAM Capture crée un vidage de données brutes avec une extension .DMP. Si vous sauvegardez l’image dans le périphérique USB, vous devrez vous assurer qu’il contient suffisamment d’espace pour la mémoire acquise.
Lorsque l’emplacement et la taille du segment ont été sélectionnés, vous pouvez appuyer sur “démarrer” et l’utilitaire commencera à capturer la mémoire du système. Une barre de progression affichera le statut de la collecte pour l’enquêteur. Une fois la collecte terminée, la mémoire capturée peut être analysée avec votre outil préféré d’analyse de mémoire.
Analyser la mémoire collectée avec Magnet RAM Capture
Puisque la mémoire collectée par l’utilitaire est stockée au format de données brutes, elle peut être analysée par la plupart des outils de criminalistique et d’analyse de mémoire, notamment IEF, Volatility et Mandiant Redline.
Pour analyser le vidage de mémoire avec IEF, sélectionnez Images sur l’écran IEF principal et téléchargez le fichier .DMP brut acquis avec Magnet RAM Capture.
IEF chargera le vidage de la RAM et effectuera une recherche au niveau du secteur (par défaut), puisqu’il n’y a aucun système de fichiers associé aux données brutes non structurées.
Lorsque le vidage est chargé, vous pouvez sélectionner les artéfacts que vous souhaitez inclure à votre recherche (une recherche intégrale produira les résultats les plus complets) et commencer votre recherche comme avec n’importe quel chargement de fichier image. Une fois la recherche IEF terminée, Report Viewer affichera tous les artéfacts trouvés dans votre vidage de mémoire. Puisque la sélection était sur « Images » lorsque le vidage de RAM a été chargé, IEF signalera toutes les preuves trouvées en tant que secteur physique. Si vous souhaitez voir les résultats sous forme de décalage de fichier, choisissez Fichiers & Dossiers lors du chargement du fichier .DMP et le système s’ajustera à la valeur que vous préférez.
La mémoire physique stocke une mine de renseignements, et capturer la mémoire d’un système actif devrait faire partie du flux de travail de n’importe quel enquêteur. Que vous travailliez sur une infection par logiciel malveillant, un incident lié à une intrusion ou un vol de propriété intellectuelle, vous trouverez à coup sûr dans la mémoire des preuves qui pourraient être essentielles à votre enquête. Magnet RAM Capture est un outil gratuit et rapide qui peut être ajouté à votre boîte à outils et qui fonctionne parfaitement avec vos outils préférés d’analyse de mémoire.
N’hésitez pas à me contacter si vous avez la moindre question, suggestion ou demande. Vous pouvez m’envoyer un e-mail à l’adressejamie.mcquaid@magnetforensics.com.
Voici quelques ressources connexes qui pourraient également vous intéresser :
- Télécharger Magnet RAM Capture : Télécharger maintenant
- Plus d’informations à propos d’IEF
- Assister à une démonstration d’IEF S’inscrire maintenant
Jamie McQuaid
Consultant en criminalistique, Magnet Forensics