Улики в RAM поможет стереть программа Dementia -

Программы ради криминалистической экспертизы умеют стричь много ценной информации из оперативной памяти, в том числе фрагменты открытых ранее файлов, фрагменты вредоносного кода, ценные объекты, только активные, так и завершённые: процессы, нити, соединения, пароли PGP, информация о различной активности на компьютере.



      Правоохранительные органы в процессе расследования полагаются на эти весть как на реальные улики. В последнее время расследование RAM считается примерно таким же эффективным и надёжным инструментом криминалистической экспертизы, как расследование содержимого HDD. Консультант по информационной безопасности из хорватской фирмы Infigo Лука Милкович (Luka Milkovic) разработал программу Dementia, которая должна становиться обязательным инструментом в арсенале каждого пользователя. Программа определяет наличие сканера, какой через подходящий драйвер делает дамп памяти - и начинает работу. Она удаляет специфические артефакты из памяти либо создаёт новый образ.

     «Временно сам образ корректен - его дозволено анализировать, и специфические артефакты в нём отсутствуют, за счёт чего прячутся следы активности», - говорит Лука Милкович. Dementia успешно справляется с сокрытием улик через популярные инструменты для криминалистической экспертизы, таких наравне Moonsols Win32dd (лишь в режиме kernel-mode), Mandiant Memoryze, Mantech MDD, FTK Imager и Winpmem. Dementia заслуженно продолжает традиции инструментов Haruyama и ShadowWalker сообразно защите памяти (за счет кракозябров) от криминалистической экспертизы.

      Мы наблюдаем классическую игру в «кошки-мышки» промеж охотником и жертвой. Наверное, следующим шагом со стороны «охотника» будет поиск программы Dementia в системе. В случае её наличия, улики должны считаться скомпрометированными. Криминалистам придётся разыскивать другой прием сделать дамп памяти без искажений, предположим, по Firewire, предполагает Милкович.

Programs for the sake of криминалистической are able to cut examinations a lot of the valuable information from operative memory, including fragments opened before files, fragments of the harmful code, valuable objects, only active, and finished: processes, threads, connections, passwords PGP, the information on various activity on the computer. Law enforcement bodies in the course of investigation rely on these a message as on real proofs. Recently investigation RAM is considered approximately the same effective and reliable tool криминалистической examinations, as investigation of contents HDD. The adviser for information security from Luka Milkovich Croatian firm Infigo (Luka Milkovic) has developed program Dementia which should become the obligatory tool in an arsenal of each user.

     The program defines presence of the scanner what through the suitable driver does дамп memories - and begins work. It deletes specific artefacts from memory or creates a new image. «Temporarily image is correct - it is permitted to analyze, and specific artefacts in it are absent, at the expense of what activity traces» hide, - speaks Onions of Milkovich. Dementia successfully copes with concealment of proofs through popular tools for криминалистической examinations, such on the same level Moonsols Win32dd (only in a mode kernel-mode), Mandiant Memoryze, Mantech MDD, FTK Imager and Winpmem. Dementia deservedly continues traditions of tools Haruyama and ShadowWalker in compliance with protection of memory from криминалистической examinations.

    We observe classical game in "cat-mouse" промеж the hunter and a victim. Probably, search of program Dementia in system will be following step from "hunter". In case of its presence, the proof should be considered as the compromised. Criminalists should search for other reception to make дамп memories without distortions, suppose, on Firewire, assumes Milkovich.