קראו תחילה את המאמר
פורנזיקה – Cyber Forensics – הסבר על ASCII, דיסק קשיח – Sector & Clusters,Image
Memory Dump
אחת האופציות החזקות יותר היא יצירה של Memory Dump בעזרתו ניתן להוציא מידע חשוב כמו: סיסמאות, ערכים מה Registry, אתרים שגלשתי אליהם ועוד
על מנת לבצע Memory Dump יש להוריד את הכלי winpmem מהקישור הבא והניחו אותו בכונן אחר, לא חייב
פתחו את ה CMD ואז תגיעו לכונן E על ידי הפקודה
E:\
ואז הקישו
cd winpmem*
* זה הגירסה שהורדתם אל winpmem
כעת הקישו את הפקודה ממש כמו בתמונה
winpmem_1.6.2.exe Win102019.raw
בסיום תקבלו קובץ .raw
כעת הורידו את הכלי Volatility Workbench והפעילו אותו
בחרו את הקובץ שנשמר ואז בחרו את הגרסת ווינדוס שלכם, חשוב לבחור את הגירסה הנכונה
אם אתם לא יודעים מה הגירסה הקישו את הפקודה winver ב Run
כעת תלחצו Refresh Proccess List ותקבלו רשימה של כל השירותים שרצו ברקע באותו זמן
כעת ניתן לקבל מידע קריטי, כמו Hashdump
אופציות נוספות הן:
iehistory – מציג את ההיסטוריה של הדפדפן IE
dllist – מציג את כל קבצי ה DLL שרצו במערכת
cmdscan – מציג את כל הפקודות שהיו בשימוש ב CMD
כעת ניתן לקחת את ה Hashs ולבצע השוואה שלהם ובכך למצוא את הסיסמא ומידע נוסף שרץ בזיכרון המערכת.
