Przygotowanie pełnego zrzutu pamięci systemu

[mgrzeg]

W niektórych przypadkach może okazać się konieczne zapoznanie się z pełnym zrzutem pamięci systemu. Przypadki takie obejmują podejrzenia włamania do systemu, niechcianej aktywności w systemie i inne, w których nie chodzi o samo usunięcie problemu, ale również analizę problemu. Poniżej znajduje się krótki opis pozwalający na samodzielne wykonanie zrzutu.

UWAGA! W pamięci znajduje się bardzo dużo wrażliwych informacji (w tym hasła zalogowanych użytkowników) i decyzja o udostępnieniu zrzutu musi być dokładnie przemyślana. Plik zrzutu należy spakować (to często bardzo duże pliki), ustawić hasło i link udostępnić tylko tej osobie, do której ma się zaufanie.
 
1. Należy wybrać jedno z dostępnych narzędzi (lista: [KLIK]), polecam DumpIt: [KLIK], najnowsza wersja wspierająca Windows 8 to Windows Memory Toolkit).
2. Na dysku o odpowiedniej ilości wolnego miejsca (co najmniej tyle, ile jest zainstalowanej w systemie pamięci) utworzyć katalog (np. c:\dumps) i skopiować tam program (np. dumpit.exe)
3. W przypadku DumpIt wystarczy program uruchomić jako administrator, potwierdzić komunikat wciskając 'y' i poczekać na utworzenie pliku zrzutu

 

  DumpIt - v1.3.2.20110401 - One click memory memory dumper
  Copyright © 2007 - 2011, Matthieu Suiche http://www.msuiche.net>
  Copyright © 2010 - 2011, MoonSols http://www.moonsols.com>
    Address space size:        2147483648 bytes (   2048 Mb)
    Free space size:          18381516800 bytes (  17529 Mb)
    * Destination = \??\C:\dumps\VM7-20140225-164208.raw
    --> Are you sure you want to continue? [y/n]

4. Po zakończeniu tworzenia zrzutu, plik należy spakować (np. 7-zip w formacie .7z), ustawić hasło, wrzucić np. na speedy.sh, a zaufanej osobie podać link (np. w postaci wiadomości prywatnej).