Memory Acquisition adalah proses untuk melakukan dump pada Memory. Fungsi dari dump ini nantinya akan dianalisis lebih lanjut, baik itu untuk mencari tahu apakah ada sebuah malware, melihat proses apa saja yang dijalankan, dan keperluan forensic analysis lainnya. Pada artikel ini kita akan membahas bagaimana cara untuk melakukan Memory Acquisition pada sistem operasi Windows dan Linux.

Windows

Pada sistem operasi windows software yang digunakan untuk melakukan dump memory adalah tool DumpIt dari Moonsols http://www.moonsols.com/wp-content/uploads/downloads/2011/07/DumpIt.zip dan juga ada aplikasi lainnya, yaitu Memoryze dari Mandiant/FireEye https://www.mandiant.com/library/MemoryzeSetup3.0.msi. Kedua aplikasi ini dapat anda download secara gratis. Kedua tool ini dapat berjalan baik di sistem operasi 32-bit dan 64-bit. Pada contoh ini, kita akan menggunakan tool DumpIt.

Tool DumpIt merupakan tool yang sangat mudah untuk digunakan, Pada kasus ini kita coba menyimpan tool DumpIt ke flashdisk yang berada pada drive G:\ dan kita jalankan seperti gambar di bawah ini :

1

Pada gambar diatas, terlihat DumpIt sedang melakukan proses dump dimana ukurannya sekitar 3,2GB dan Format dari hasil dump adalah file bertipe .raw

2

Untuk analisis memory, kita bisa menggunakan tool Volatility yang dapat diinstall pada Windows maupun Linux. Disini kita coba menggunakan Volatility yang sudah terinstall di Linux.

Kita lihat dulu, imageinfo dari dump memory ini :

Hasilnya profile yang dapat kita gunakan adalah Win7SP0x86. Setelah mengetahui profile ini, kita dapat melakukan teknik analisis lebih lanjut, contohnya untuk melihat proses yang berjalan kita bisa menggunakan perintah seperti gambar di bawah ini :

Pembahasan lebih lanjut tentang Volatiity akan kita bahas di artikel selanjutnya.

Linux
Untuk melakukan dumping memory menggunakan Linux. Tool yang dapat kita gunakan adalah
LiME (Linux Memory Extractor). Kita bisa langsung clone dari github dengan perintah :

git clone https://github.com/504ensicsLabs/LiME

Lalu kita compile dengan perintah :

cd LiME/src/
make clean
make

Hasil dari compile akan terdapat sebuah modul yang nama modul tersebut sama dengan nama kernel yang kita gunakan. Contohnya lime-3.16.0-34-generic.ko. Pada kasus ini file lime-3.16.0-34-generic.ko kita copy ke flashdisk, yang nantinya akan digunakan untuk dumping memory.

Sekarang kita jalankan proses dump dengan format perintah :

insmod <lokasi modul> "path=<output dump> format=<format dump>"

Contohnya :

insmod /media/mrrwx/ADATA_123/lime-3.16.0-34-generic.ko "path=/media/mrrwx/ADATA_123/hasil.raw format=raw"

Perintah diatas akan mengggunakan modul LiME yang terdapat pada flashdisk dan outputnya juga akan disimpan ke flashdisk tersebut. Untuk format terdapat 3 jenis, yaitu raw,padded, & lime.

File ini juga dapat kita analisis lebih lanjut dengan menggunakan Volatility dan juga forensic lainnya.

Banyak tool yang digunakan untuk melakukan forensic analysis. Namun pada artikel ini hanya dibahas sebagian tool saja. Semoga artikel ini bermanfaat 🙂