La sezione RAM Analysis rappresenta la prima estensione dello strumento che si inserisce all'interno della struttura a plug-in di PTK. Ogni plug-in sviluppato aggiungerà nuove funzionalità e renderà il processo di analisi delle evidence sempre più automatizzato.
La sezione RAM analysis si basa sull'utilizzo dello strumento volatility e permette di analizzare a vari livelli un RAM dump effettuato mediante l'uso del tool dd. PTK permette quindi di analizzare lo stato del sistema nel momento del dump e da esso ricavare informazioni come ad esempio:
La sezione RAM analysis si basa sull'utilizzo dello strumento volatility e permette di analizzare a vari livelli un RAM dump effettuato mediante l'uso del tool dd. PTK permette quindi di analizzare lo stato del sistema nel momento del dump e da esso ricavare informazioni come ad esempio:
- connessioni attive
- dll caricate dai processi
- file aperti
- moduli del kernel caricati
- processi
- sockets
- oggetti di tipo ETHREAD
- virtual Address Descriptors (VAD) di ogni processo
Nessun commento:
Posta un commento