Please use this identifier to cite or link to this item:
Title: Аналіз оперативної пам’яті як один із методів проведення комп’ютерно-технічних криміналістичних досліджень
Other Titles: RAM analysis as one of the methods for computer forensics
Authors: Пташкін, Р.Л.
Гожий, О.О.
Обруч, Ю.Ю.
Павлов, В.В.
Калініченко, Р.А.
Keywords: віртуалізація;VirtualBox;дамп пам’яті;RAM;volatility;virtualization;memory dump
Issue Date: 2020
Publisher: Вісник Черкаського державного технологічного університету. Технічні науки
Abstract: Підходи та методи сучасної комп’ютерної криміналістики зазвичай оминають такий напрям досліджень, як аналіз оперативної пам’яті. Варто зауважити, що інформаційний вміст оперативної пам’яті працюючої операційної системи є досить цікавим об’єктом дослідження, оскільки може містити не тільки інформацію про роботу системи чи окремих процесів, а й відомості про авторизаційні дані чи ключі шифрування інформації. Аналіз системної пам’яті як окремий метод криміналістики загалом вимагає вирішення деяких проміжних питань, зокрема вибору інструменту для отримання її вмісту та засобу для дослідження створеного знімка. Ця робота має на меті вирішення зазначених питань. Аби аргументовано здійснити вибір того чи іншого засобу, в роботі проведено деяку апробацію програмного забезпечення та аналіз отриманих результатів.
Modern methods of computer forensics usually do not use RAM analysis. This is due to the significant complexity of this task. But at the same time, RAM is an interesting object of research. RAM contains the data structures, the data related to processes running on the system, and the kernel. This includes virtual memory of all processes, virtual memory of the kernel, handles, mutexes, network connections, and other resources that are currently being used by all processes and the kernel. All these data and data structures are available in the memory dump. Other than that, RAM can contain a data about decryption keys. Such information will be valuable for computer forensics. RAM analysis, as a separate method of computer forensics, generally requires to find solutions for some intermediate questions. The task of memory acquisition involves capturing the contents of RAM using a memory capture tool, which creates a memory dump file. The second step, memory analysis or forensics, involves an analysis of this memory dump file. The base aim of this article is finding and testing tools for RAM forensics. We have analyzed the most respected forensics books and latest scientific papers to perform these tasks. After this we have made own research and tests of some software. Forensics starts with data acquisition. Since we want to look at the memory, we need to use memory acquisition tools such as virtual environment. Using tools of virtual environment, we can take a complete dump of RAM, which includes both the user-mode memory space for all the processes and the kernel-mode memory as well. The best tool, according to the authors, is the Oracle VM VirtualBox, because it's useful, simple and free tool. Analyzing the latest scientific works in the field of computer forensics, for the memory analysis the authors choose a tool, such as "volatility". "Volatility" is one of the popular pieces of open source software used. It is able to read suspended states of virtual machines. The advantage of such tools is that malware, such as rootkits, that try to hide themselves from user domains, can be extracted using memory forensic tools. The proposed tools allow experts to make forensics analysis of RAM and obtain information that is not available from classical research methods. In this research we have tested functionality of virtual environment and various volatility plugins, that allow to get an idea of the events taking place in the operating system and the activities of some software. These methods and algorithms will be useful for the computer forensics in government forensic centers or for cybersecurity workers
ISSN: 2708-6070 (online)
2306-4412 (Print)
DOI: 10.24025/2306-4412.4.2020.214993
Issue: 4
First Page: 39
End Page: 47
Appears in Collections:№4

Files in This Item:
File Description SizeFormat 
1-2_титул 4-2020.pdf242.6 kBAdobe PDFThumbnail
3-4_Зм_ст 4-2020 укр.pdf127.23 kBAdobe PDFThumbnail
39-47_Пташк_н.pdf492.6 kBAdobe PDFThumbnail
171_Зм_ст 4-2020 анг.pdf109.26 kBAdobe PDFThumbnail

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.