Belkasoft RAM Capturer - низкоуровневый инструмент для снятия образа оперативной памяти компьютера. Программа разработана для использования криминалистами, специалистами и разработчиками систем безопасности. Работа в режиме ядра операционной системы позволяет успешно обходить активные виды защиты от отладки, подобные nProtect GameGuard. В комплект поставки входят 32-битные и 64-битные версии драйвера для Windows, позволяющие программе функционировать в привилегированном режиме ядра системы. Программа бесплатна.
Многие программы, включая популярные многопользовательские игры, системы безопасности, а также вредоносное ПО защищают свои процессы от исследования с помощью отладочных инструментов. В таких программах используются активные системы противодействия отладке, способные обнаружить и предотвратить попытку других программ считать данные из защищённых областей памяти. В лучшем случае попытка использования отладчика не удаётся - вместо интересующей исследователя информации в защищённой области обнаруживаются нули или случайные данные. В худшем случае происходит зависание или перезагрузка компьютера, делающие дальнейшее исследование невозможным.
Для предотвращения такого развития событий необходимо использование инструментария, работающего в привилегированном режиме ядра операционной системы. В поставку Belkasoft RAM Capturer входят 32- и 64-разрядные версии драйверов, работающих в режиме ядра и позволяющих корректно обрабатывать области данных, принадлежащие защищённым процессам.
Образ памяти, полученный с помощью Belkasoft RAM Capturer, может быть проанализирован криминалистическим продуктом компании Belkasoft Evidence Center с помощью функции Live RAM Analysis. Исследование образа оперативной памяти компьютера позволяет криминалистам обнаруживать данные, не попадающие на жёсткий диск, такие как чаты, общение в социальных сетях и переговоры в онлайновых многопользовательских играх.
Интернет