Программы для криминалистической экспертизы умеют извлекать много ценной информации из оперативной памяти, в том числе фрагменты открытых ранее файлов, фрагменты вредоносного кода, ценные объекты, как активные, так и завершённые: процессы, нити, соединения, пароли PGP, информация о различной активности на компьютере. Правоохранительные органы в процессе расследования полагаются на эти сведения как на реальные улики. В последнее время анализ RAM считается почти таким же эффективным и надёжным инструментом криминалистической экспертизы, как анализ содержимого HDD.
Консультант по информационной безопасности из хорватской фирмы Infigo Лука Милкович (Luka Milkovic) разработал программу Dementia, которая должна стать обязательным инструментом в арсенале каждого пользователя. Программа определяет наличие сканера, который через соответствующий драйвер делает дамп памяти — и начинает работу. Она удаляет специфические артефакты из памяти или создаёт новый образ. «Пока сам образ корректен — его можно анализировать, и специфические артефакты в нём отсутствуют, за счёт чего прячутся следы активности», — говорит Лука Милкович.
Dementia успешно справляется с сокрытием улик от популярных инструментов для криминалистической экспертизы, таких как Moonsols Win32dd (только в режиме kernel-mode), Mandiant Memoryze, Mantech MDD, FTK Imager и Winpmem.
Dementia достойно продолжает традиции инструментов Haruyama и ShadowWalker по защите памяти от криминалистической экспертизы.
Налицо классическая игры в «кошки-мышки» между охотником и жертвой. Наверное, следующим шагом со стороны «охотника» станет поиск программы Dementia в системе. В случае её наличия, улики должны считаться скомпрометированными. Криминалистам придётся искать другой способ сделать дамп памяти без искажений, например, по Firewire, предполагает Милкович.
В любом случае, если улики собираются с чужого компьютера, им никогда нельзя доверять на 100%.
