Réaliser un dump mémoire

Pour la plupart des articles tagués TAOMF nous allons avoir besoin de disséquer des dump de mémoire RAM. Du coup j'ai pensé que ça serait une bonne idée de vous montrer comment effectuer ce genre d'opérations.

Dans cet article je ne traiterai que des OS Windows et Linux étant donné que je ne dispose pas de machines MacOS en revanche je vous mettrais quelques liens qui pourront vous aider ;) !

I/ Windows

Pour ce qui est de Windows il existe plusieurs outils, payants ou non. Pour ma part j'utilise l'outil magnetforensic que vous pourrez télécharger ici. L'outil se présente de cette manière :

dump1.png

Pas besoin d'entrer plus dans les détails puisque son utilisation est assez explicite ;) !

II/ Linux

Pour Linux il existe un petit exécutable bien sympas : linpmem-2.1.post4. Vous pourrez télécharger le binaire déjà compilé ici. Quant à l'utilisation ça reste tout aussi simple :

chmod u+x linpmem-2.1.post4
./linpmem-2.1.post4 -o dump.raw

dump2.png

III/ MacOS

Pour ce qui est de MacOS j'ai fait pas mal de recherches et il apparaît que le meilleur outil est osxpmem que vous pourrez télécharger ici !