--- # System prepended metadata title: '**Утилита DumpIt**' --- # **Утилита DumpIt** ## Введение Память содержит много полезной информации для обработчиков инцидентов, например, открытые файлы, сетевые подключения и ключи шифрования. Отключив методологию судебной экспертизы, вы теряете всю эту информацию и ставите свои навыки под сомнение, если дело дойдет до суда. Dumpit — бесплатный инструмент, написанный Matthieu Suiche из MoonSols. Dumpit поддерживает как 64-битные, так и 32-битные операционные системы Windows. DumpIt обеспечивает удобный способ получения образа памяти системы Windows, даже если исследователь физически не сидит перед целевым компьютером. Он настолько прост в использовании, что с ним справится даже неопытный пользователь. Это не подходит для всех сценариев, но во многих ситуациях определенно облегчит получение памяти. После выполнения данной утилиты пользователь может предоставить исследователю USB-ключ, который будет содержать файл моментального снимка памяти. Администратор может использовать бесплатные инструменты криминалистики памяти, такие как The Volatility Framework , Rekall или Redline , чтобы проверить содержимое файла памяти на наличие вредоносных артефактов. DumpIt представляет собой слияние двух надежных инструментов, win32dd и win64dd, объединенных в один исполняемый файл. Предоставляется нетехническому пользователю с помощью съемного USB-накопителя. ## Установка Установка DumpIt не требует никаких дополнительный знаний. Достаточно скачать exe файл и запустить его - теперь вы готовы к ее использованию. Dumpit можно загрузить с веб-сайта MoonSols. После загрузки и распаковки zip-файла он будет представлять собой один исполняемый файл «dumpit.exe». ## Процесс использования Пользователю нужно просто дважды щелкнуть исполняемый файл DumpIt и разрешить запуск инструмента, нажав на y в появившемся окне. Это займет некоторое время, но в случае успеха окно программы будет выглядеть следующим образом: ![](https://i.imgur.com/9KVdSuJ.png) Затем DumpIt сделает снимок физической памяти хоста и сохранит его в папке, где находился исполняемый файл DumpIt. ![](https://i.imgur.com/EjNcPWP.png)