68

PRAKTYKA

HAKIN9 10/2009

Z ARTYKUŁU

DOWIESZ SIĘ

jak ważna jest analiza pamięci

RAM,

jakie są najpopularniejsze

narzędzia do akwizycji pamięci

oraz jakie są ich możliwości,

jakie są najpopularniejsze

narzędzia do analizy pamięci

oraz jakie są ich możliwości,

CO POWINIENEŚ

WIEDZIEĆ

znać podstawy architektury

systemów,

znać podstawy

administrowania komputerem,

znać podstawy informatyki

śledczej.

Z

anim dane elektroniczne zostaną
uznane za dowód w incydencie
muszą zostać w pierwszej kolejności

zgromadzone. Jeśli zebrany materiał nie
będzie pochodził ze wszystkich możliwych
źródeł wyprowadzenie właściwych wniosków
z incydentu może być trudne, a nawet
niemożliwe. Historycznie rzecz ujmując,
cyfrowe dochodzenia opierały się o
zapisy zawarte na twardym dysku i innych
nośnikach, przechowujących dane w sposób
trwały. Większość śledczych zakładało,
że tylko w informacji zapisanej na takim
nośniku można odnaleźć coś ciekawego.
Inne miejsca, zwane pamięciami ulotnymi,
takie jak np. pamięć operacyjna czy ruch
sieciowy pozostawały w sferze niedostępnej
i niezrozumiałej. Podobnie narzędzia służące
do analizy i zabezpieczania takich danych
były właściwie nieosiągalne i trudne w
użyciu. Obecnie, chcąc odnaleźć przyczyny
kompromitacji systemu, jego źródła i powody,
nie sposób nie zajrzeć do pamięci RAM czy
ruchu sieciowego. Niniejszy artykuł stanowi
wprowadzenie do złożonej tematyki analizy
pamięci ulotnych na przykładzie akwizycji
i analizy pamięci operacyjnej podejrzanej
maszyny.

Akwizycja pamięci

Proces ten sprowadza się do wykonania
kopii binarnej (image, dump, zrzut) pamięci

PRZEMYSŁAW KREJZA

w żywym systemie do celów dalszej analizy.
W uproszczeniu, pozyskana w ten sposób
kopia jest podobna do kopii binarnej np.
dysku twardego, jednak aby ją wykonać
musimy przystosować swoje narzędzia i
techniki do nowych warunków związanych z
koniecznością pracy na działającym materiale
dowodowym. Pozyskiwanie informacji z
działających systemów jest bowiem czym
innym niż praca z pamięciami statycznymi,
gdzie do wykonania kopii binarnej dysku
w pierwszej kolejności należało wyłączyć
komputer. Wykonana kopia była stanem
ustalonym z zamkniętego systemu, gdzie
wszystkie dane są już zapisane. Pracujący
system operacyjny jest natomiast w stanie
nieustannej zmiany a wykonany zrzut pamięci
jest niejako zamrożeniem czasu tj. stanu w
danej chwili. Choć sam proces akwizycji
pamięci RAM jest stosunkowo prosty, łatwo
tu o pomyłkę oraz działania, które mogą
zatrzeć oczekiwane ślady. Dlatego przed
rozpoczęciem prawdziwych spraw warto
przygotować własny set narzędzi i przećwiczyć
odpowiednie procedury.
Na początek, o czym trzeba pamiętać:

• Dokumentuj każdy krok. Dokumentacja

zawsze może się przydać.

• Musisz mieć pełny dostęp do systemu.

W innym wypadku akwizycja będzie
niemożliwa.

Stopień trudności

Akwizycja

i analiza

pamięci

Trudno dziś sobie wyobrazić analizy powłamaniowe, czy inne

związane z szeroko pojętą informatyką śledczą, bez analizy

pamięci operacyjnej badanego komputera. Teza ta jest

tym bardziej aktualna, że wielkość pamięci współczesnych

komputerów, średnio od 2 do 8 GB RAM, daje wielkie pole

do popisu dla

malware’u i innego

oprogramowania

oraz sporą

przestrzeń do

przechowywania

ciekawych danych,

które mogą być

śladami lub nawet

dowodami w

różnego rodzaju

incydentach.

69

AKWIZYCJA I ANALIZA PAMIĘCI

HAKIN9

10/2009

• W docelowej maszynie nie zamykaj

żadnych okien, dokumentów lub
programów. Każda zmiana stanu
systemu ma wpływ na zwartość
pamięci.

• Staraj się wykonać akwizycję w

jak najmniejszej ilości kroków. Miej
narzędzia uprzednio przygotowane.

• Pamiętaj, aby nośnik na który

wykonujesz zrzut pamięci był większy
niż zainstalowana w docelowej
maszynie ilość pamięci (jedynie
WinEn daje możliwość kompresji,
jednak nie zalecamy jej stosowania).

• Dla pewności, w celu uniknięcia

wymieszania danych w sytuacjach
nieprzewidzianych, stosuj odrębny
nośnik na plik kopii, a przed użyciem
wyzeruj całkowicie przygotowaną na
nim partycję.

• Używaj wyłącznie zaufanych narzędzi.

Im mniej pamięci alokuje narzędzie
tym lepiej. Przykładowo Nigilant32
(obecnie beta) zajmuje mniej niż 1Mb
pamięci, a Helix już ok 18Mb. Dzięki
temu pozostawisz mniej własnych
śladów w pamięci.

• Staraj się ustalić dokładną wersję

systemu operacyjnego. Ustalenie
tego faktu jest znacznie łatwiejsze w
działającym systemie niż z wykonanej
kopii binarnej pamięci, a informacja
ta może być przydatna w trakcie
analiz.

Narzędzia do akwizycji

W sieci dostępnych jest sporo
narzędzi do akwizycji pamięci RAM,

zarówno płatnych, jak i darmowych,
przedstawiających sobą różne
możliwości. Wśród nich warto spojrzeć na
przedstawione w Tabelce 1 popularne i
przetestowane rozwiązania.

• FastDump –został napisany przez

HBGary, firmę specjalizującą się w
narzędziach analizy pamięci, wraz
z profesjonalnym programem do
badania pamięci (Responder) z
wykorzystaniem mechanizmu DNA.
W wersji darmowej jest zubożony o
bardziej złożone funkcjonalności.

• WinEn.exe jest narzędziem płatnym

jednak został dołączony do Helix od
wersji 2.0. Wykonuje kopie binarne
pamięci w formacie EnCase z
możliwością kompresji wersja
dystrybuowana z Encase 6.12
wspiera również sumę kontrolną
SHA-1.

• Mantech Memory DD lub MDD

– proste narzędzie wykonujące
kopie binarne w formacie RAW lub
DD.

• Win32dd – dobrej klasy narzędzie

do wykonywania kopi pamięci w
formacie RAW, DD lub WinDbg.

• Mandiant Memoryze – Mandiant

jest jedną z bardziej znanych firm
wyspecjalizowanych w narzędziach
incident response. Memoryze
wykonuje kopie w formacie DD lub
RAW.

• Encase jest złożoną platformą

analityczną. Encase pozwala
zarówno na wykonywanie kopii

binarnej, pamięci, jak i jej pełną
analizę z użyciem dostępnych
skryptów.

Akwizycja pamięci

Wybór odpowiedniego narzędzia
w zależności od wersji i składników
systemu to najważniejszy element
procesu akwizycji. W poniższym
przykładzie do zapisania obrazu
pamięci zastosowano nośnik USB i
program WinEn do wykonania akwizycji
na systemie testowym. Narzędzie do
akwizycji uruchomiono z napędu CD-
ROM. W stanie systemu widocznym
na poniższym ekranie, za pomocą
polecenia … wykonano akwizycję
pamięci.

Zapis pamięci, w zależności od

pojemności, trwa dłuższą chwilę.
Większość prezentowanych tu
programów posiada indykator progresu.
Część z nich automatycznie, w trakcie
tworzenia, wylicza hash (MD5, SHA)
obrazu. Wyliczony ponownie hash,
jeśli jest niezmieniony, może być
dowodem autentyczności i wierności
kopii w protokole zabezpieczania. Nie
wszystkie programy do akwizycji mają
taką możliwość. Konieczne może być
wówczas zastosowanie dodatkowego
narzędzia do wyliczenia sumy
kontrolnej.

Tak wykonana kopia pamięci

w dalszej części analiz stanie się
materiałem oryginalnym. Zamrożony
stan systemu jest niepowtarzalny i
jakikolwiek błąd może nas kosztować

Tabela 1.

Wybrane programy do akwizycji pamięci RAM

FastDump

Pro

FastDump

Community

WinEn

WinEn64

MDD

Memoryze

Win32DD

Encase

Producent

HBGary

HBGary

Guidance

Software

ManTech

Mandiant

Mattieu Suiche

Guidance Software

Licencja

Free

Płatna

Płatna

Free

Free

GNU

Płatna

64bit

Nie

Tak

Tak

Nie

-

-

Tak

>4Gb

Nie

Tak

Tak

-

-

-

Tak

Win 2008

serwer

Nie

Tak

-

-

-

Tak

Tak

Win 2003

serwer

Nie

Tak

Tak

Tak

Tak

Tak

Tak

Win XP

Tak

Tak

Tak

Tak

Tak

Tak

Tak

Vista

Nie

Tak

Tak

Tak

SP1

Tak

Tak

70

PRAKTYKA

HAKIN9 10/2009

utratę ważnych dowodów. Dlatego,
zgodnie z zasadami informatyki
śledczej (również incydent response),
prawidłowa analiza powinna być

prowadzona wyłącznie na dodatkowej
kopii.

Warto w tym miejscu wspomnieć,

iż dostępne są również rozwiązania

pozwalające na akwizycję pamięci
poprzez sieć komputerową.
Przykładem może być tu F-Response,
pozwalający na zdalny dostęp do
systemu w trybie read-only, w tym
również do pamięci operacyjnej. F-
Response tworzy środowisko, w którym
możliwe jest stosowanie rozwiązań
zewnętrznych np. do wykonywania kopii
I analiz.

Jeśli komputer

jest zablokowany

Jeśli zablokowany komputer z systemem
2000/XP/Vista posiada port firewire
(wbudowany lub w wymiennej karcie
PCMCIA) możesz wykorzystać dostępne
od Helix 1.9 narzędzia i przejąć nad
nim kontrolę używając winlockpwn,
który wykorzystuje lukę w specyfikacji
IEEE 1394, umożliwiając spatchowanie
procesu logowania w pamięci i
zalogowanie się do systemu bez
znajomości właściwego hasła.

Proces wymaga przyłączenia

przez firewire drugiego komputera
z uruchomionym systemem Unix/
Linux i załadowanymi bibliotekami
pythonraw1394, zawierającymi romtool
(emuluje IPod na firewire) i skrypt
winlockpwn.py. Helix LiveCD od wersji
1.9 jest już odpowiednio przygotowany.
Wystarczy, że uruchomisz romtool
i winlockpwn. Atakowany system
pozwoli na odblokowanie konsoli bez
znajomości hasła.

Dostępne od Helix 1.9 narzędzia

Adama Boileau pozwalają również na
zimagowanie zawartości pamięci bez
zalogowania się do systemu. Program
1394memimage pozwala na zrzut
pamięci ofiary na dysk usb. Dzięki temu
możliwe jest np. pozyskanie właściwego
hasła konsoli.

Jeśli port nie jest dostępny

to najlepszym rozwiązaniem jest
reboot systemu oraz uruchomienie
alternatywnego systemu operacyjnego,
z małymi potrzebami alokacji (syslinux),
a następnie niezwłoczny zrzut
zawartości pamięci (np. za pomocą
Msramdmp).

Princeton research (http:

//citp.princeton.edu/memory/ )
opisało również proces związany z

Rysunek 1.

Stan systemu przed akwizycją

Rysunek 2.

Proces akwizycji

Rysunek 3.

Zawartość notepad (analiza za pomocą EnCase)

AKWIZYCJA I ANALIZA PAMIĘCI

71

HAKIN9

10/2009

pozyskiwaniem informacji z systemów,
po ich wyłączeniu. Przedstawionego
doświadczenia nie udało nam się
powtórzyć w warunkach laboratoryjnych,
jednak możliwe jest, iż ma on związek
z zastosowaną pamięcią lub innymi
czynnikami.

Inne problemy

Część narzędzi służących do
wykonywania kopi binarnej RAM
przygotowana jest do pracy w
podstawowych konfiguracjach XP32/
>4Gb pamięci. W niektórych działaniach
mamy jednak do czynienia z systemami
64-bitowym lub większą ilością
pamięci. Zastosowanie niewłaściwego
rozwiązania może w takiej sytuacji
doprowadzić do crash systemu, co
może nie być pożądane. Najbezpieczniej
stosować wtedy FastDump Pro lub
EnCase WinEn. Niestety są to płatne
programy.

Nie zawsze również mamy

możliwość bezpośredniego
przyłączenia się do badanego systemu.
W takiej sytuacji przydatne okazują
się Helix i Netcat lub F-Response,
a w bardzo zaawansowanych
rozwiązaniach EnCase Enterprise.

Ograniczenia

akwizycji softwarowej

Akwizycja pamięci operacyjnej
działającego komputera, za
pomocą oprogramowania, bazuje

na rozwiązaniach, które muszą
pracować w środowisku, co do
którego nie możemy mieć zaufania
– kernel systemu operacyjnego
maszyny, w której tworzymy kopię
pamięci. Z jakiegokolwiek nośnika
nie uruchomilibyśmy programu,
nie ma możliwości całkowitego
wyeliminowania roli kernel, ponieważ
system musi mieć kontrolę nad
przepływem danych. Możliwym
rozwiązaniem jest spatchowanie
niezbędnych elementów kernel i
zastąpienie ich zaufanymi. Mechanizm
ten wykorzystują niektóre złośliwe
kody. Jednak problemem może
być zdolność skompromitowanego
systemu do obrony przed takimi
operacjami, a ustalenie stanu zaufania
systemu nie będzie możliwe, co w
konsekwencji może doprowadzić do
crash w trakcie akwizycji pamięci lub
pozyskania spreparowanej kopii, nie
zawierającej żadnych śladów infekcji
(zob. Shadow Walker Rootkit).

Nie bez znaczenia jest również

fakt, że zaangażowanie systemu w
proces wykonania programu do
akwizycji danych powoduje konieczność
alokacji przestrzeni dla zastosowanego
rozwiązania, a tym samym istnieje
ryzyko nadpisania istotnej zawartości.
Można to porównać do instalowania
oprogramowania do odzyskiwania
danych na dysku, z którego chcemy
odzyskać dane.

Dlatego oprócz rozwiązań

softwarowych istnieją również
dedykowane rozwiązania sprzętowe,
wykorzystujące bezpośredni dostęp
do pamięci poprzez mostek PCI.
Rozwiązania takie nie opierają się o
jakikolwiek składnik systemu, jednak
wymagają wcześniejszej instalacji
odpowiedniej karty, co nie zawsze jest
możliwe.

Narzędzia analityczne

Ze względu na zaawansowanie
użytkowników, większość dostępnych
narzędzi analitycznych nie posiada
interfejsu GUI. Wymagana jest tu
często znajomość złożonych poleceń,
używanych z wiersza poleceń. Dostępne
narzędzia posiadające GUI są na ogół
płatne. Z przyczyn oczywistych łatwiej
jest również odnaleźć narzędzia do
analizy zrzutów Windows. Poszukując
właściwego dla siebie rozwiązania
warto przetestować kilka narzędzi.
W Tabelce 2 przedstawiono kilka
wybranych.

• BinText jest małym programem,

pozwalającym na wydobywanie
ciągów ASCI lub UNICODE z
plików binarnych. Posiada bardzo
użyteczne mechanizmy filtrowania i
wyszukiwania informacji. Dzięki temu
możliwe jest szybkie wydobywanie
tekstów np. z zawartości otwartych
okien.

Tabela 2.

Wybrane narzędzia stosowane w analizie pamięci

BinText

EnCase

Responder

Volatitity

Memoryze

Producent

Foudstone

Guidance Software HBGary

Volatile Systems

Mandiant

Licencja

GPL

Płatna

Płatna

GPL

GPL

Platforma

Windows

Windows

Windows

Windows

Windows

Format i pochodzenie analizowanych kopi binarnych

Vista

Tak

Tak

Tak

Nie

Nie

XP

Tak

Tak

Tak

SP2&SP3

SP2&SP3

2008

-

Tak

Tak

Nie

-

2003

-

Tak

Tak

Nie

SP2

64 bit

-

Tak

Tak

Nie

Nie

Akceptowane

obrazy

RAW

EnCase, RAW

RAW

RAW, Hiber File, Crash

Dump

RAW

Inne możliwości

Tworzy hasła listy do

ataku

Dostępne skrypty

Współpraca z

EnCase

Wiele dostępnych

pluginów

Może być użyty z

EnCase

72

PRAKTYKA

HAKIN9 10/2009

• Encase – złożona platforma

analityczna, pozwalająca na
wyszukiwanie i ekstrakcję dowolnych
informacji w tym z użyciem skryptów.
W połączeniu HBGary Responder
daje duże możliwości analityczne.

• HBGary Responder – jedno

z bardziej zaawansowanych
narzędzi dostępnych na rynku,
z możliwościami automatycznej
analizy kodów i wykrywania malware
na podstawie obrazu pamięci i
zawartych w niej kodów aplikacji
(mechanizm DNA).

• Volatility Framework – bazuje na

Python. Jest kolekcją narzędzi
pomocną w wydobywaniu artefaktów,
takich jak uruchomione procesy,
połączenia sieciowe, otwarte klucze
rejestru, itd.

• Mandiant Memoryze – element

zestawu narzędzi, służących do
analiz powłamaniowych, reverse
engeenieringu, analizy malware.
Pozwala pozyskiwać informacje
o uruchomionych procesach,
połączeniach sieciowych, driverach (w
tym ukrytych).

Przedstawione powyżej narzędzia
są uniwersalne i stosunkowo proste
w zastosowaniu. Rozwiązań, w tym
również dedykowanych do konkretnego
problemu, jest jednak znacznie
więcej. Istotne jest również, że każdy z
popularnych programów typu forensic
(EnCase, FTK, XWays), po zamontowaniu
obrazu tak samo, jak w wypadku kopi
binarnej dysku twardego, pozwoli nam
na badania pod kontem występowania
słów kluczowych, odwiedzanych stron
internetowych, raw recovery, itd.

Analiza pamięci

Pamięć operacyjna może być cennym
źródłem informacji o badanym

systemie, jego historii i działaniach
użytkownika. Jej zawartość może być
zasadniczo analizowana podobnie
jak obraz np. dysku twardego, jednak
można w niej odnaleźć informacje, które
na dysku twardym praktycznie nigdy nie

są zapisywane. W zależności od ilości
zainstalowanej pamięci i intensywności
pracy systemu, przechowywane
informacje mogą pochodzić z wielu dni
– praktycznie od ostatniego włączenia
systemu. Dla przykładu w wyniku analizy

Ślady w pamięci

Każde zastosowane w działającym komputerze narzędzie pozostawia w pamięci własne ślady. Pamiętajmy, że w zależności od danej sprawy,
zgromadzone przez nas informacje mogą stać się dowodami w sądzie, nawet jeśli tego nie zakładamy (np. zwolniony na ich podstawie nieuczciwy
pracownik uda się do sądu pracy). Pozostawienie śladów w pamięci może wymagać dodatkowych wyjaśnień, a wypowiadający się w danej
sprawie biegły może zwrócić na nie uwagę. Dlatego zabezpieczając jakiekolwiek dane informatyczne, zawsze warto posługiwać się protokołem
zabezpieczania, w którym należy odnotować dokładny czas, miejsce, dokładny przebieg kopiowania i opis zastosowanego narzędzia (nazwa,
wersja, itd.).

Rysunek 4.

Odwiedzane strony internetowe. Analiza za pomocą NetAnalysys i skryptu

EnCase

Rysunek 5.

Uszkodzone zdjęcie wydobyte z pamięci

AKWIZYCJA I ANALIZA PAMIĘCI

73

HAKIN9

10/2009

możemy odnaleźć (aktualny stan
systemu i zdarzenia przeszłe):

• Uruchomione procesy:

• wszelkiego typu malware

– rootkity i trojany.

• Otwarte pliki:

• edytowane dokumenty, nawet nie

zapisane,

• pozostałości emaili, nawet

pochodzących z poczty WWW,

• zawartość stron internetowych,

nawet szyfrowanych,

• otwierane obrazy.

• Połączenia sieciowe i otwarte porty.
• Otwarte klucze rejestru.
• Informacje związane z

uruchomionymi aplikacjami (np.
aktywne rozmowy komunikatorów).

• Bufory związane z ekranem, klawiaturą,

dyskiem itd. (np. rekordy MFT).

• Hasła zapisane w sposób jawny.
• Informacje związane z BIOS.
• Inne informacje systemowe.

W zależności od danego incydentu
złożoność analiz może być różna.

Przykładowo, na ekranie stanu
pierwotnego systemu widoczny jest
prosty tekst wpisany w notepad, który
nie został jeszcze zapisany do pliku,
oraz strona internetowa. Analiza za
pomocą EnCase pozwala łatwo
odnaleźć zawartość okna notepad
w pamięci, a także przeanalizować
historię internetową (Rysunek 3 i
Rysunek 4).

Badając zawartość pamięci warto

pamiętać, że oprócz wykonanego
obrazu podobnym źródłem informacji
są wszelkie pliki związane z pamięcią
(swap, hiberfil, itd) oraz zrzuty pamięci
jak np. plik crash dump systemu. Zrzut
taki stanowi zawartość pamięci w
momencie padu systemu. Nie każda
wersja systemu generuje plik crash
oraz różna może być jego zawartość,
jednak warto zwracać uwagę na jego
występowanie np. w kopiach binarnych
dysków twardych.

Istotnym elementem wszelkich

analiz jest fakt, że dynamicznie
alokowana pamięć nie musi
przechowywać danych w sposób

ciągły. Zarządzanie pamięcią systemu
używa wirtualnej metody adresowania
(można to przyrównać do systemu
plików), co może powodować
fragmentację pamięci. Dodatkowo
pamięć znajduje się w stanie ciągłej
zmiany i strony pamięci mogą zostać
przemieszczone lub usunięte nawet
w trakcie procesu akwizycji. Część
informacji może znajdować się również
w systemowym pliku wymiany, który nie
stanowi elementu wykonanego zrzutu.
Dlatego np. pozyskane z pamięci
obrazy mogą być niekompletne, jak na
Rysunku 5.

Głęboka znajomość sposobu i zasad

stronicowania pozwala na znalezienie
odpowiednich pointerów i odtworzenia,
przynajmniej częściowo, alokacji danych,
jednak jest to trudne i różne w zależności
od systemu operacyjnego, a nawet jego
wersji.

Podsumowanie

Ze względu na swoją ograniczoną
objętość, niniejszy artykuł porusza
jedynie podstawowe kwestie w
złożonej tematyce akwizycji i analizy
pamięci. Rozległość tematu zachęca
jednak do samodzielnych poszukiwań.
Dostępne obecnie narzędzia są coraz
bardziej dostępne i wszechstronne,
a możliwości stosowania środowisk
wirtualnych i symulowania różnorakich
zdarzeń zdejmują z nas większość
ograniczeń. Większość popularnych
narzędzi jest intensywnie rozwijana
i w przyszłości zapewne będą one
coraz łatwiejsze w użyciu. Jednak ich
właściwy dobór i stosowanie wymaga
od analityka/śledczego stałego
pogłębiania wiedzy i testowania
rozwiązań. Szczególnie cenne są
tu wszelkiego rodzaju fora i blogi
internetowe, gdzie można wymieniać
swoje doświadczenia.

Przemysław Krejza

Dyrektor ds. badań i rozwoju w Mediarecovery,

największej polskiej firmie zajmującej się informatyką

śledczą. Prawnik, informatyk. Wcześniej 8 lat na

stanowiskach zarządzania działem odzyskiwania

danych. Autor publikacji na tematy związane

informatyką śledczą i odzyskiwaniem danych.

Prelegent wielu konferencji i seminariów. Od kilku

miesięcy prezes Stowarzyszenia Instytut Informatyki

Śledczej.

Kontakt: biuro@mediarecovery.pl

Zanim odłączysz przewód

Wyłączenie zasilania komputera niechybnie prowadzi do bezpowrotnej utraty zawartości
pamięci. W zależności od incydentu oczywiście może to być bez znaczenia, jednak proces
ten jest na tyle łatwy, że warto go wykonywać rutynowo dla każdego włączonego systemu
podlegającego analizie. Zasady informatyki śledczej (patrz iis.org.pl) nakazują zabezpieczanie
danych od najbardziej ulotnych (pamięć RAM), aż po najmniej ulotne (dysk twardy). Tak więc
jeśli istnieje taka możliwość, przed wyłączeniem komputera wykonaj zrzut pamięci!

W Sieci

Blogi

• http://computer.forensikblog.de/en/,
• http://www.volatility.tumblr.com,
• http://www.volatilesystems.blogspot.com,
• http://www.forensickb.com,
• Brian Kaplan: Pozyskiwanie klucza szyfrującego z pamięci, xhttp://www.andrew.cmu.edu/

user/bfkaplan,

• http://www.mcgrewsecurity.com.

Oprogramowanie

• MDD: www.mantech.com,
• Win32DD: www.win32dd.msuiche.net,
• Fast Dump: www.hbgary.com,
• EnCase: www.encase.com.

Inne

• www.iis.org.pl/forum.