Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/1883
Full metadata record
DC FieldValueLanguage
dc.contributor.authorПташкін, Роман Леонідович-
dc.contributor.authorГожий, Олександр Олександрович-
dc.contributor.authorОбруч, Ю.Ю.-
dc.contributor.authorПавлов, В.В.-
dc.contributor.authorКалініченко, Р.А.-
dc.date.accessioned2021-02-23T13:43:06Z-
dc.date.available2021-02-23T13:43:06Z-
dc.date.issued2020-
dc.identifier.issn2708-6070 (online)-
dc.identifier.issn2306-4412 (Print)-
dc.identifier.urihttps://er.chdtu.edu.ua/handle/ChSTU/1883-
dc.description.abstractПідходи та методи сучасної комп’ютерної криміналістики зазвичай оминають такий напрям досліджень, як аналіз оперативної пам’яті. Варто зауважити, що інформаційний вміст оперативної пам’яті працюючої операційної системи є досить цікавим об’єктом дослідження, оскільки може містити не тільки інформацію про роботу системи чи окремих процесів, а й відомості про авторизаційні дані чи ключі шифрування інформації. Аналіз системної пам’яті як окремий метод криміналістики загалом вимагає вирішення деяких проміжних питань, зокрема вибору інструменту для отримання її вмісту та засобу для дослідження створеного знімка. Ця робота має на меті вирішення зазначених питань. Аби аргументовано здійснити вибір того чи іншого засобу, в роботі проведено деяку апробацію програмного забезпечення та аналіз отриманих результатів.uk_UA
dc.description.abstractModern methods of computer forensics usually do not use RAM analysis. This is due to the significant complexity of this task. But at the same time, RAM is an interesting object of research. RAM contains the data structures, the data related to processes running on the system, and the kernel. This includes virtual memory of all processes, virtual memory of the kernel, handles, mutexes, network connections, and other resources that are currently being used by all processes and the kernel. All these data and data structures are available in the memory dump. Other than that, RAM can contain a data about decryption keys. Such information will be valuable for computer forensics. RAM analysis, as a separate method of computer forensics, generally requires to find solutions for some intermediate questions. The task of memory acquisition involves capturing the contents of RAM using a memory capture tool, which creates a memory dump file. The second step, memory analysis or forensics, involves an analysis of this memory dump file. The base aim of this article is finding and testing tools for RAM forensics. We have analyzed the most respected forensics books and latest scientific papers to perform these tasks. After this we have made own research and tests of some software. Forensics starts with data acquisition. Since we want to look at the memory, we need to use memory acquisition tools such as virtual environment. Using tools of virtual environment, we can take a complete dump of RAM, which includes both the user-mode memory space for all the processes and the kernel-mode memory as well. The best tool, according to the authors, is the Oracle VM VirtualBox, because it's useful, simple and free tool. Analyzing the latest scientific works in the field of computer forensics, for the memory analysis the authors choose a tool, such as "volatility". "Volatility" is one of the popular pieces of open source software used. It is able to read suspended states of virtual machines. The advantage of such tools is that malware, such as rootkits, that try to hide themselves from user domains, can be extracted using memory forensic tools. The proposed tools allow experts to make forensics analysis of RAM and obtain information that is not available from classical research methods. In this research we have tested functionality of virtual environment and various volatility plugins, that allow to get an idea of the events taking place in the operating system and the activities of some software. These methods and algorithms will be useful for the computer forensics in government forensic centers or for cybersecurity workersuk_UA
dc.language.isoukuk_UA
dc.publisherВісник Черкаського державного технологічного університету. Технічні наукиuk_UA
dc.subjectвіртуалізаціяuk_UA
dc.subjectVirtualBoxuk_UA
dc.subjectдамп пам’ятіuk_UA
dc.subjectRAMuk_UA
dc.subjectvolatilityuk_UA
dc.subjectvirtualizationuk_UA
dc.subjectmemory dumpuk_UA
dc.titleАналіз оперативної пам’яті як один із методів проведення комп’ютерно-технічних криміналістичних дослідженьuk_UA
dc.title.alternativeRAM analysis as one of the methods for computer forensicsuk_UA
dc.typeArticleuk_UA
dc.citation.issue4uk_UA
dc.citation.spage39uk_UA
dc.citation.epage47uk_UA
dc.identifier.doi10.24025/2306-4412.4.2020.214993-
Appears in Collections:№4/2020

Files in This Item:
File Description SizeFormat 
1-2_титул 4-2020.pdf242.6 kBAdobe PDFThumbnail
View/Open
3-4_Зм_ст 4-2020 укр.pdf127.23 kBAdobe PDFThumbnail
View/Open
39-47_Пташк_н.pdf492.6 kBAdobe PDFThumbnail
View/Open
171_Зм_ст 4-2020 анг.pdf109.26 kBAdobe PDFThumbnail
View/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.