Výpis paměti podezřelého procesu

Pro vytvoření výpisu paměti konkrétního procesu můžeme použít aplikaci procdump od společnosti ESET. Více informací na adrese https://servis.eset.cz/knowledgebase/article/View/403/54/jak-vytvorit-vypis-pameti-konkretniho-procesu#.WXrdB-kdjts

Výpis paměti běžícího stroje

Pro výpis paměti můžeme použít několik aplikací. Například bezplatný nástroj Memoryze (https://www.fireeye.com/services/freeware/memoryze.html) nebo DDwin. Případně si můžete dle platformy vybrat některý z nástrojů pro výpis paměti na stránce http://www.forensicswiki.org/wiki/Tools:Memory_Imaging .

Další možností je využít distribuce Kali a Netcat. Více na adrese https://www.youtube.com/watch?v=iE8b7oESqUE . Bohužel při výpisu paměti z PC s velkou RAM je tento postup celkem pomalý.

Volatility – podpora Kali
https://code.google.com/archive/p/volatility/
https://tools.kali.org/forensics/volatility

Případně využít aplikaci DumpIt.exe nebo Winpmem https://isc.sans.edu/forums/diary/Acquiring+Memory+Images+with+Dumpit/17216/ .

Více informací na:
https://zeltser.com/memory-acquisition-with-dumpit-for-dfir-2/
https://blog.comae.io/your-favorite-memory-toolkit-is-back-f97072d33d5c (Pro stažení je potřeba vyplnit dotazník.)

Výpis paměti s vynuceným restartem (nevhodné pro výpis paměti zavirovaného PC)

Pokud počítač tuhne, nebo dělá nevyzpytatelné věci je dobré udělat výpis paměti. Díky tomu lze pak najít aplikaci, ovladač způsobující problém.

Jako první musíme do registru přidat tyto klíče:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\i8042prt\Parameters]
„CrashOnCtrlScroll“=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kbdhid\Parameters]
„CrashOnCtrlScroll“=dword:00000001

Pokud používáte více paměti RAM než 2GB, je potřeba povolit úplný výpis paměti. To uděláte pomocí tohoto návody https://servis.eset.cz/Knowledgebase/Article/View/88/0/co-dlat-pokud-pocitac-pada-do-modre-obrazovky-bsod#.VOOroS6lsuk

V případě, že počítač zatuhne nebo dochází k podivnému chování vyvoláme výpis paměti pomocí klávesové zkratky CTRL + 2x po sobě stisknout SCROLL LOCK (ScrLk).

Po restaru najdete výpis paměti v souboru MEMORY.DMP v adresáři C:\Windows

 

Další informace najdete v článcích:
http://support.microsoft.com/kb/972110/cs
https://support.microsoft.com/kb/244139/cs?wa=wsignin1.0
https://servis.eset.cz/Knowledgebase/Article/View/88/0/co-dlat-pokud-pocitac-pada-do-modre-obrazovky-bsod#.VOOtAy6lsul
https://servis.eset.cz/Knowledgebase/Article/View/92/31/co-dlat-pokud-pocitac-casto-vytuhne-a-nereaguje#.VOOqry6lsul
https://sethusrinivasan.wordpress.com/2012/04/20/collecting-user-mode-dumps-in-even-if-windows-error-reporting-is-disabled/
https://msdn.microsoft.com/en-us/library/bb787181%28VS.85%29.aspx

https://support.microsoft.com/en-us/kb/927069/
https://support.microsoft.com/en-us/kb/969028/
https://www.sophos.com/en-us/support/knowledgebase/111474.aspx
http://www.sevenforums.com/tutorials/174459-dump-files-configure-windows-create-bsod.html
http://www.networkworld.com/article/2201779/applications/how-to-solve-windows-7-crashes-in-minutes.html
https://msdn.microsoft.com/en-us/library/windows/hardware/ff545499(v=vs.85).aspx