Introduzione

In questa sezione prenderemo in considerazione le diverse strategie per effettuare dei campioni di memoria da analizzare mediante un qualsiasi framework per l’analisi della memoria come per esempio volatility3, cioè come fare delle copie fedeli della memoria RAM (Random Access Memory) su file.

Che cos’è la campionatura della memoria o l’acquisizione o l’estrazione o anche il dump.

In italiano possiamo chiamarlo campionatura della memoria ram oppure anche acquisizione o estrazione, in inglese di solito si utilizza il termine dump. Le parole sono diverse ma il concetto è il medesimo. Il dump o la campionatura è il processo di copia fedele delle memoria volatile, detta anche RAM (Random Access Memory). su file. Per fare la campionatura ci sono diversi modi e anche diversi tool. Ma prima di proseguire nella spiegazione di quali sono questi tool e come funzionano bisogna dire che l’acquisizione della ram non è l’unico modo per poter analizzare la memoria. Infatti è possibile fare anche un’analisi cosidetta live della ram e saltare quindi il processo di acquisizione. Entrambi i sistemi hanno vantaggi e svantaggi a seconda della situazione.

La gestione della memoria

Per comprendere meglio come funzionano i tool di acquisizione oppure il processo di analisi live bisogna comprendere a fondo i concetti alla base della gestione della RAM.

Strumenti di acquisizione

Di seguito una lista degli strumenti di acquisizione che siano opensource o commerciali, software o hardware, locali o remoti, virtuali o fisici, o per i diversi sistemi operativi. Come Linux, Microsoft Windows, oppure MacOs.

[]: