Memory Forensics

Comparación de la corrección de las capturas de memoria de máquinas Windows 10 bloqueadas utilizando diferentes vectores de captura.

Autores/as

  • Jack Dyson Sheffield Hallam University
  • Shahrzad Zargari Sheffield Hallam University

Palabras clave:

Digital Forensics, Memory Forensics, Memory Acquisition, Memory Analysis

Resumen

Memory forensics is rapidly becoming a critical part of all digital forensic investigations. The value of information stored within a computer’s memory is immense; failing to capture it could result in a substantial loss of evidence. However, it is becoming increasingly more common to find situations where standard memory acquisition tools do not work. The paper addresses how an investigator can capture the memory of a locked computer when authentication is not present. The proposed solution is to use a bootable memory acquisition tool, in this case, Passware Bootable Memory Imager. To enhance the findings, three different reboot methods will be tested to help identify what would happen if the recommended warm reboot is not possible. Using a warm reboot and a secure reboot, Passware Bootable Memory Imager was able to successfully acquire the memory of the locked machine, with the resulting captures being highly representative of the populated data. However, the memory samples collected after a cold reboot did not retain any populated data. These findings highlight that to capture the memory of a locked machine, the reboot method is highly successful, providing the correct method is followed.

DOI

Descargas

Los datos de descarga aún no están disponibles.
Vol 9 No 2 (2022)

Descargas

Publicado

2022-07-01

Número

Vol. 9 Núm. 2 (2022)

Sección

Artículos Científicos para el número regular

Licencia

Licencia Creative Commons

Aviso de derechos de autor/a

Los autores/as que publiquen en esta revista aceptan las siguientes condiciones:

  1. Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación, con el trabajo registrado con la Creative Commons Attribution-Non-Commercial-Share-Alike 4.0 International, que permite a terceros utilizar lo publicado siempre que mencionen la autoría del trabajo y a la primera publicación en esta revista.
  2. Los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
  3. Se permite y recomienda a los autores a compartir su trabajo en línea (por ejemplo: en repositorios institucionales o páginas web personales) antes y durante el proceso de envío del manuscrito, ya que puede conducir a intercambios productivos, a una mayor y más rápida citación del trabajo publicado.

Descargo de Responsabilidad

LAJC en ningún caso será responsable de cualquier reclamo directo, indirecto, incidental, punitivo o consecuente de infracción de derechos de autor relacionado con artículos que han sido presentados para evaluación o publicados en cualquier número de esta revista. Más Información en nuestro Aviso de Descargo de Responsabilidad.

Cómo citar

[1]
“Memory Forensics: Comparación de la corrección de las capturas de memoria de máquinas Windows 10 bloqueadas utilizando diferentes vectores de captura”., LAJC, vol. 9, no. 2, pp. 36–51, Jul. 2022, Accessed: Oct. 08, 2025. [Online]. Available: https://lajc.epn.edu.ec/index.php/LAJC/article/view/310

Artículos más leídos del mismo autor/a