Программа Dementia стирает улики в RAM Программы для криминалистической экспертизы умеют извлекать много ценной информации из оперативной памяти, в том числе фрагменты открытых ранее файлов, фрагменты вредоносного кода, ценные объекты, как активные, так и завершённые: процессы, нити, соединения, пароли PGP, информация о различной активности на компьютере. Правоохранительные органы в процессе расследования полагаются на эти сведения как на реальные улики. В последнее время анализ RAM считается почти таким же эффективным и надёжным инструментом криминалистической экспертизы, как анализ содержимого HDD. Консультант по информационной безопасности из хорватской фирмы Infigo Лука Милкович (Luka Milkovic) разработал программу Dementia http://code.google.com/p/dementia-forensics/ , которая должна стать обязательным инструментом в арсенале каждого пользователя. Программа определяет наличие сканера, который через соответствующий драйвер делает дамп памяти — и начинает работу. Она удаляет специфические артефакты из памяти или создаёт новый образ. «Пока сам образ корректен — его можно анализировать, и специфические артефакты в нём отсутствуют, за счёт чего прячутся следы активности», — говорит Лука Милкович. Dementia успешно справляется с сокрытием улик от популярных инструментов для криминалистической экспертизы, таких как Moonsols Win32dd (только в режиме kernel-mode), Mandiant Memoryze, Mantech MDD, FTK Imager и Winpmem. Dementia достойно продолжает традиции инструментов Haruyama и ShadowWalker по защите памяти от криминалистической экспертизы. Налицо классическая игры в «кошки-мышки» между охотником и жертвой. Наверное, следующим шагом со стороны «охотника» станет поиск программы Dementia в системе. В случае её наличия, улики должны считаться скомпрометированными. Криминалистам придётся искать другой способ сделать дамп памяти без искажений, например, по Firewire, предполагает Милкович. В любом случае, если улики собираются с чужого компьютера, им никогда нельзя доверять на 100%. 11.01.2013 http://www.xakep.ru/post/59930/