标签:日期 工作 16px 无法 ide bit 操作系统 分析 64bit
来自俄罗斯的取证大厂Belkasoft,旗下的主力产品Belkasoft Evidence Center有不错的评价,除了BEC之外,咱们Yuri老兄也是佛心来着的,提供了一个免费内存镜像工具RamCapture给同好们享用.
它有32bit及64bit版本,无须安装,直接运行即可.但须以系统管理者权限运行.默认会将内存镜像储存在RamCapture相同路径之下.且会很贴心地以当天日期设定文件名,后缀名默认为.mem.
有意思的是,在完成镜像后,还会打个小广告,如下图红色底线所示.
好工具不嫌多,且可起到互补替代效用。分享一个经验给各位兄弟,前不久应军方要求,前往某单位进行恶意程序分析,但因该主机的操作系统老旧,FTK Imager无法顺利运行,好在我还有RamCapture,顺利取得内存镜像,使得分析工作顺遂。
好用的內存鏡像工具Belkasoft RAM Capture
标签:日期 工作 16px 无法 ide bit 操作系统 分析 64bit
原文地址:http://www.cnblogs.com/pieces0310/p/5986736.html
