# **MAGNET RAM Capture** ## Введение Анализ памяти может выявить много важной информации о системе и ее пользователях. Часто бывают случаи, когда доказательства, хранящиеся в памяти, никогда не записываются на жесткий диск и могут быть найдены только в файлах pagefile.sys или hiberfil.sys. Анализ памяти необходим для многих инцидентов, связанных с вредоносными программами и вторжениями, и может быть необходим для восстановления ценных доказательств практически для любого расследования ПК. Запущенные процессы и программы, активные сетевые подключения, ветки реестра, пароли, ключи и расшифрованные файлы — вот лишь несколько примеров доказательств, которые можно найти в памяти. Многие веб-приложения, такие как Gmail, или режимы приватного просмотра/инкогнито будут хранить данные только в памяти. Это означает, что улики не могут быть восстановлены с жесткого диска. Magnet RAM Capture поддерживает как 32-, так и 64-разрядные системы Windows, включая XP, Vista, 7, 8, 10, 2003, 2008 и 2012. Он быстро захватит всю физическую память и оставит небольшой след в анализируемой активной системе. ## Установка и запуск Скачать утилиту MAGNET RAM Capture можно [тут](https://www.magnetforensics.com/resources/magnet-ram-capture/). Для этого необходимо заполнить форму. Запустить Magnet RAM Capture очень просто. Автономный исполняемый файл можно запустить либо с USB-накопителя, либо с локального компьютера. ## Работа с MAGNET RAM Capture После запуска утилиты пользователь увидит окно, в котором необходимо будет указать два элемента до начала сбора данных: (1) где сохранять захваченные данные и (2) должны ли файлы быть фрагментированы. Фрагментация отключена по умолчанию, однако, если вы запускаете утилиту с USB-накопителя, отформатированного в файловой системе FAT32, и занимаемая вами оперативная память хоста превышает 4 ГБ, рекомендуется фрагментировать ваши файлы, чтобы придерживаться ограничения максимального размера файла FAT32. ![](https://i.imgur.com/VmK0GpN.png) После выбора местоположения и размера сегмента вы можете нажать Start, и утилита начнет захват системной памяти. Индикатор выполнения предоставит следователю статус коллекции. После завершения сбора захваченную память можно проанализировать с помощью инструментов анализа памяти. ## Анализ памяти, собранной с помощью Magnet RAM Capture Поскольку память, собранная утилитой, хранится в формате необработанных данных, ее можно анализировать с помощью большинства инструментов анализа памяти и криминалистических инструментов, включая IEF, Volatility и Mandiant Redline.