Jesse Kornblum (Entwickler von md5deep, ssdep und foremost) hat ein kleines Programm namens Clear Memory veröffentlicht. Damit wird die Analyse des Virtuellen Arbeitsspeichers von Windowssystemen erleichtet. Einmal gestartet, werden die Memory Pages des physikalischen Hauptspeichers in das Page File übertragen. Damit steigt die Chance, dort dann mehr Bestandteile des Hauptspeichers für eine spätere Analyse zu finden. Besser ist natürlich ein Hauptspeicherabbild, aber man kann ja nicht alles haben. 😉
Update 11.11.2006 15:20
Da die originale Seite wohl verschwunden ist, hier ohne Gewähr und Support ein Link zu meiner lokalen Kopie des Tools. Der originale Artikel ist wohl weg.
Update 11.11.2006 15:30
Jesse schreibt, warum die Seite weg ist:
No, I didn’t deliberately delete my post and excellent discussion about languages and government. While experimenting with a new script to turn all of my old entries private, that post and several others got erased. I think that Unicode characters in the text screwed up my script.
Update 13.11.2006 18:45
Die Seite ist wieder online. Tool und Sourcecode ist dort wieder verfügbar.
Servus. Irgendwie scheint die Seite weg zu sein. Wo gibt es das Tool?
JoH, hast Recht. Ärgerlich. Ich habe mal einen Link auf eine lokale Kopie des Tools gesetzt. Benutzung natürlich auf eigene Gefahr. Fragen zum Tool bitte an Jesse.
Sorry for making that post private. I have unlocked it for you!
Jesse, thank you!
ich möchte die “ Pagefile “ auf eine seperate platte bingen
MfG
hirschvogel
Im laufenden Betrieb? Mit dem FTK Imager geht es beispielsweise. Ansonsten aus dem Image extrahieren.