Belkasoft RAM抓拍系统是一个内核模式工具,旨在捕获计算机的易失性存储器的内容的取证方式。经法医研究公司开发的,Belkasoft RAM抓拍系统无需安装,留下尽可能小的足迹,理论上是可行的。未来的32位和64位内核模式驱动程序,Belkasoft RAM抓拍系统是能够克服目前大多数反调试,反倾销保护系统等的nProtect GameGuard的。与许多其他的内存转储工具操作严格在用户模式下,Belkasoft RAM抓拍工作在系统的最优越的内核模式,能够获取计算机的RAM的全部内容。
某些应用,包括多玩家电脑游戏,通讯工具和恶意软件实施反调试措施,积极阻止第三方工具访问他们的记忆集。在温和,最好的情况场景,这些积极的措施将简单地导致存储器倾倒工具来读取零(或随机数据),而不是实际的信息。在其它情况下(例如,恶意软件,木马,某些安全应用),这样的系统可能会锁定或重置的PC,从而破坏了非易失性存储器的内容,并使它绝对不可能转储RAM的内容。这种抗调试系统的实例包括的nProtect GameGuard的和卡罗斯的游戏。
许多法医RAM收购工具将运行在最小特权用户模式,触发这些保护系统,服务没有很好的给他们的用户。在不同系统的用户模式下运行许多相互竞争的工具,Belkasoft RAM抓拍系统配备了32位和64位内核驱动程序,允许该工具中最优越的内核模式下运行。
Belkasoft RAM抓拍叶占位面积最小可能的,不需要安装,可以在几秒钟内从USB闪存驱动器启动。与Belkasoft RAM抓拍收购的内存转储可以Belkasoft证据中心现场RAM进行分析然后分析
要求:
32位或64位Windows
评论没有发现