Belkasoft RAM抓拍系統是一個內核模式工具,旨在捕獲計算機的易失性存儲器的內容的取證方式。經法醫研究公司開發的,Belkasoft RAM抓拍系統無需安裝,留下盡可能小的足跡,理論上是可行的。未來的32位和64位內核模式驅動程序,Belkasoft RAM抓拍系統是能夠克服目前大多數反調試,反傾銷保護系統等的nProtect GameGuard的。與許多其他的內存轉儲工具操作嚴格在用戶模式下,Belkasoft RAM抓拍工作在系統的最優越的內核模式,能夠獲取計算機的RAM的全部內容。
某些應用,包括多玩家電腦遊戲,通訊工具和惡意軟件實施反調試措施,積極阻止第三方工具訪問他們的記憶集。在溫和,最好的情況場景,這些積極的措施將簡單地導致存儲器傾倒工具來讀取零(或隨機數據),而不是實際的信息。在其它情況下(例如,惡意軟件,木馬,某些安全應用),這樣的系統可能會鎖定或重置的PC,從而破壞了非易失性存儲器的內容,並使它絕對不可能轉儲RAM的內容。這種抗調試系統的實例包括的nProtect GameGuard的和卡羅斯的遊戲。
許多法醫RAM收購工具將運行在最小特權用戶模式,觸發這些保護系統,服務沒有很好的給他們的用戶。在不同系統的用戶模式下運行許多相互競爭的工具,Belkasoft RAM抓拍系統配備了32位和64位內核驅動程序,允許該工具中最優越的內核模式下運行。
Belkasoft RAM抓拍葉佔位面積最小可能的,不需要安裝,可以在幾秒鐘內從USB閃存驅動器啟動。與Belkasoft RAM抓拍收購的內存轉儲可以Belkasoft證據中心現場RAM進行分析然後分析
要求:
32位或64位Windows
評論沒有發現