Как найти файлы оперативной памяти

Как узнать куда идет расход ОЗУ, если его нет в процессах?

Это очень странно, я открываю диспетчер задач, всего у меня 16 ГБ ОЗУ, показывает что потребляет 20% когда все закрыто!

Пошарил по процессам, не пойму где утечка, сканировал на вирусы, все-равно, виндоус жрет 1 гб, до процессы ну еще 1 макс, и все равно их нет в процессах, куда еще 1 гб делся? Как можно отследить куда расход идет, в случае если кто то поставил фишинговое или скрытое ПО для фарма лайткойнов?

Это подозрительно, обычно когда сильно забивает и я никак не могу убрать это, перебивал винду стирая вообще все под чистую. Когда чистый windows, у меня грузило 5%-10% ОЗУ максимум, теперь 20% минимум.

Как узнать куда идет расход ОЗУ, если его нет в процессах?

Запуск Windows и приложений сопровождается чтением в память и обработкой огромного количества файлов. Зачастую один и тот же файл открывается по несколько раз для чтения различных сегментов. Такой нерациональный доступ к файлам занимает много времени. Гораздо эффективнее обращаться к каждому файлу только один раз, загружая информацию в оперативную память ещё до того, как она станет нужна программам. Prefetcher наблюдает за тем, какой код и данные (включая NTFS Master File Table) загружаются в процессе запуска операционной системы и приложений. Он накапливает эти сведения в файлах трассировки для оптимизации загрузки кода и данных при следующих запусках.

На вкладке «производительность» диспетчера задач посмотрите на количество «доступной» а не «свободной» памяти

Винда, начиная с висты, потихоньку забивает память файловым кэшем что бы быстрее работать с диском (часто используемые файлы хранятся и в памяти тоже, и читаются быстро из памяти, а вот пишутся на винт).

Источник

Как узнать, что занимает оперативную память компьютера

Что занимает память компьютера и как её очистить

Если вы помните, не так давно я публиковал на блоге статью, в которой рассказывал о загрузке процессора. Так вот, здесь хочется провести параллель, поскольку приложения, которые грузят CPU, также занимают и оперативную память.

А это значит, что и пользоваться мы будем теми же инструментами для выявления ресурсоемких процессов. Это хорошо, поскольку люди ленивы по своей натуре и учиться чему-то новому хотят не всегда.

Начать стоит, конечно, с уже известного нам Диспетчера задач. Нажимаем на клавиатуре магическую комбинацию CTRL+ALT+DEL и начинаем разбираться. О да, это интересно.

Сразу сортируем по убыванию столбец «Память» и видим программы, которые кушают ресурсы больше всего. Самое простое, что можно сделать, это вызвать правой кнопкой мыши дополнительное меню и завершить процесс.

Но опять хочу предостеречь. Смотрите, что закрываете. Системные процессы Windows без понятия трогать не стоит. А узнать, что его использует система можно с помощью функции «Подробно» или воспользовавшись поиском в интернете. На картинке выше как раз приведен пример такого (системного) процесса.

Не плоди вкладки браузера

Все мы любим сидеть в интернете. Ну как же без него в наше время. Нередко бывает так, что у пользователя в браузере открыт целый пул вкладок. Конечно, ведь многие успевают одновременно читать новости, переписываться в соц. сети и, например, проверять почту. Вундеркинды!

Каждая такая вкладка находится в оперативной памяти компьютера. Прикиньте, как легко можно загрузить ее до предела. Отсюда вывод: не держите в открытом состоянии ненужные вам страницы. Зачем, ребята? Попользовались и закрыли. Это же так просто.

На следующем примере видно, что для каждой такой страницы Яндекс.Браузер запускает отдельный процесс. И вот представьте, если объема ОЗУ на компьютере и так хватает впритык. Есть над чем подумать.

Посмотри автозагрузку и службы

Думаю, тут все понятно. Заходим в одноименный раздел Диспетчера задач и смотрим, все ли из приведенного списка действительно нужно для работы в фоновом режиме.

Довольно часто в Сети в случаях острой нехватки памяти советуют отключать службы, которые не относятся напрямую к Майкрософт, то есть к системным. Как по мне, мера не совсем популярная, но имеет право на жизнь.

Делается следующим образом на примере Windows 10. В строке поиска вбиваем комбинацию, указанную под рисунком ниже и переходим в раздел «Службы».

Здесь рекомендую сразу поставить галку «Не отображать службы Майкрософт», чтобы не закрыть что-нибудь системное. А дальше в приведенном списке можно снимать галки напротив названий, чтобы отключить сервис.

Конечно же, после действий с автозагрузкой и службами желательно перезагрузить компьютер. Ну как, он у вас включился? Значит, вы все сделали правильно. А я в этом месте словил себя на мысли, что пост плавно перешел на тему, как очистить ОЗУ. 😉

Подведем итоги. Теперь вы знаете, как проанализировать занятую память компьютера. Если все перечисленные манипуляции вам ничем не помогли, возможно, пора задуматься над увеличением ее объема. Что думаете по этому поводу? Пишите в комментариях.

Источник

Как почистить и разгрузить оперативную память компьютера на Windows 7

Оперативная память является важнейшей составляющей любого компьютера или ноутбука. В большей степени она определяет скорость работы устройства и, соответственно, чем больше ОЗУ будет установлено на компьютере, тем лучше и проще тот будет работать. Повысить производительность компьютера можно увеличением физического объёма памяти, но в Windows 7 того же результата можно несколько иными способами, например, почистить.

Что такое оперативная, физическая и видеопамять

Все операции с информацией осуществляет центральный процессор компьютера, причём он делает это только с той, которая содержится в оперативном запоминающем устройстве. Сюда загружается множество различной информации, в том числе промежуточные результаты разнообразных вычислений и текущие данные. Буквально все операции, которые выполняет компьютер, подразумевают обращение к оперативной памяти и её последующее использование. Таким образом можно сделать простой вывод — все, что вы делаете на компьютере, так или иначе, может потреблять ресурсы ОЗУ. Благодаря этому становится ясно, почему компьютеры с небольшим количеством оперативной памяти работают намного хуже, чем другие устройства, обладающие большими ресурсами.

Кроме оперативного запоминающего устройства, имеется ещё несколько видов памяти, это физическая и видеопамять.

Если вы взглянете на системные показатели, которые отображают количество ОЗУ, то наверняка удивитесь, ведь там будет указан чуть меньший объем, чем вы установили. Некоторый объём оперативной памяти система автоматически резервирует для фунционирования центрального процессора. Как правило, этот объем — не очень большой, но является обязательным для работы «мозга» персонального компьютера. Именно эта часть называется физической памятью устройства.

Каждый видеоадаптер обладает своей памятью. По сути — это та же оперативная память, только установленная на отдельный компонент компьютера, которая выполняет функцию передачи изображения на монитор. В отличие от традиционных планок ОЗУ, каждую из которых владелец ПК может самостоятельно заменить (добавить, убрать некоторые либо заменить их), видеопамять является несъемной. В результате увеличить объем такой памяти можно только путём замены старого видеоадаптера на новый либо покупкой дополнительной видеокарты.

Как посмотреть, чем занята оперативка

Операционная система Windows 7 может показывать пользователю информацию о том, чем в текущий момент времени занята оперативная память компьютера. Все это можно просмотреть самостоятельно, без дополнительных инструментов, воспользовавшись системными, встроенными возможностями. В этом пользователям поможет «Диспетчер задач». Его можно открыть двумя способами: Нажать на клавиатуре комбинацию клавиш Ctrl+Alt+Del и в появившемся меню выбрать приложение «Диспетчер задач». Щёлкнуть правой кнопкой мыши на «Панели задач» и уже там выбрать «Диспетчер задач».

По умолчанию, программа автоматически открывает пользователю вкладку «Быстродействие». Здесь можно посмотреть на загруженность центрального процессора в текущий момент времени, на то, как сильно он используется запущенными программами, а также взглянуть на хронологию использования физической памяти. В некоторых случаях это может понадобиться. Тем не менее, здесь представлен лишь график загрузки отдельных элементов системы, а более точную и подробную информацию пользователи могут найти во вкладке «Процессы».

В «Процессах» указывается вся информация о запущенных приложениях на компьютере, в том числе даже те процессы, которые появились в результате сбоев. В крайней левой колонке можно посмотреть название процесса, в предпоследней количество занятой тем или иным процессом оперативной памяти, а в крайней правой — подробное описание. Таким образом вы можете взглянуть на таблицу и отсортировать все процессы, например, по количеству потребляемых ресурсов и при необходимости завершить их.

Как освободить оперативную память компьютера

ОЗУ зачастую является дефицитным ресурсом для множества приложений. Некоторые из них пользователь запускает совершенно осознанно, а другие начинают работать по «воле» системы либо из-за автозагрузки. Не стоит забывать и о том, что существуют такие приложения, которые осознанно вредят устройству, могут потреблять значительную часть системных ресурсов — вредоносное программное обеспечение. Как бы то ни было, все они потребляют оперативную память, поэтому пользователю необходимо регулярно производить очистку оперативной памяти.

Закрыть ненужные программы и приложения

Самый простой способ очистки ОЗУ заключается в отключении различных программ и приложений.

Закрываем активные приложения

Таким образом можно освободить некоторую часть физической памяти. Все активные программы и приложения операционная система Windows 7 отображает в виде специальных иконок, располагающихся в нижней части экрана, на «Панели задач». Благодаря новому интерфейсу Aero, который появился ещё в ОС Windows Vista, пользователь может с лёгкостью просмотреть рабочий вид окон. Таким образом можно понять — в каких окнах осталась важная, несохраненная информация. Все те приложения, в которых вы сейчас не нуждаетесь, можете отключить и увеличить быстродействие, освободить память компьютера, а для этого достаточно нажать на крестик, располагающийся в верхней части активного окна.

Отдельно следует упомянуть про работу веб-браузеров. Дело в том, что каждая новая вкладка, которую вы откроете в браузере, представляет для системы отдельный процесс. Таким образом, если количество таких вкладок будет большим, а объем оперативной памяти, наоборот, маленьким, то быстродействие вашего компьютера значительно ухудшится. Если вам сейчас браузер вообще не нужен, то закройте его полностью. Если же нуждаетесь только в каких-то отдельных вкладках, то оставьте их, а остальное уберите. Например, часто бывает так, что пользователи вводят запрос в поисковик и оставляют эту вкладку открытой. Она тоже будет использовать системные ресурсы, поэтому убедитесь, что все те вкладки, которые вам не нужны — отключены.

При необходимости, пользователи могут воспользоваться «Диспетчером задач», чтобы отключить активные приложения. Для этого потребуется:

Щелкаем на «Панели задач» и выбираем «Запустить диспетчер задач»

В «Диспетчере задач» открываем вкладку «Приложения»

Здесь будут отображаться все активные задачи, в том числе и те, которые невозможно закрыть простым нажатием на «крестик» в правом верхнем углу окна (зависшие приложения). Старайтесь использовать этот способ только тогда, когда какие-то программы на вашем компьютере зависли и не отвечают на действия.

Помните, что таким способом отключения приложений лучше не злоупотреблять. В этом случае — это аварийное отключение программы и, естественно, некоторые данные могут не сохраниться. Кроме того, такой способ отключения может вызвать проблемы при последующем запуске приложения.

Закрытие фоновых процессов и служб

Некоторые виды программ и приложений работают в так называемом фоновом режиме и потребляют оперативную память. Как правило, активного окна у них нет. Весь их интерфейс либо сворачивается в трей, либо вовсе не заметен. Тем не менее, это не говорит о том, что они не потребляют системные ресурсы. Зачастую именно они становятся причиной снижения быстродействия персонального компьютера, ухудшения его работоспособности. Поэтому рекомендуется хотя бы иногда проверять все процессы. Для этого следует:

Щелкаем на «Панели задач» и выбираем «Запустить диспетчер задач»

Источник

ТОП-3 Простых способа как очистить оперативную память на компьютере или ноутбуке под управлением в Windows 7/10

Оперативная память – это важнейший компонент любого компьютера, который отвечает за его быстродействие. Чем больше оперативки, тем лучше ПК себя ведет при работе с кучей программ. И иногда оперативную память нужно чистить. Желательно регулярно.

Зачем чистить оперативную память?

Ответить на этот вопрос одним предложением невозможно. Начнем с того, что оперативная память (даже самая объемная) может не выдержать кучи запущенных программ и компьютер начнет жутко тормозить и лагать.

То же самое может произойти и в том случае, если программы (особенно ресурсоемкие) работают постоянно в фоне. Оперативная память просто не выдерживает такой нагрузки и начинает работать файл подкачки, который располагается на медленном жестком диске. Отсюда и тормоза.

Так что оперативную память нужно время от времени очищать. И сделать это можно несколькими способами. Причем можно даже не использовать сторонних приложений (хотя и этот вариант мы рассмотрим).

Очистка при помощи «Диспетчера задач» Windows

У операционной системы Windows есть такой замечательный компонент, как «Диспетчер задач», который позволяет управлять работой ОС. Также он умеет мониторить общее состояние памяти. По его показателям можно понять, что нагрузка на RAM достигла критической массы.

Более того, «Диспетчер задач» позволяет очистить оперативную память в пару кликов. И это не может не радовать. Пользоваться этим компонентом очень просто. Для очистки памяти нужно выполнить следующие действия.

1. Кликаем правой кнопкой мыши по значку «Пуск» и в контекстном меню выбираем «Диспетчер задач».

2. В главном окне компонента щелкаем на категорию «Память». Это действие отсортирует процессы по степени загрузки оперативной памяти компьютера или ноутбука.

3. Теперь кликаем по самым ресурсоемким процессам правой кнопкой мыши и выбираем «Снять задачу». Это действие выгружает процессы из RAM.

Так стоит делать для всех процессов, которые не являются системными. Однако выгружать из памяти можно только те программы, которые не работают в данный момент. Если выгрузить работающую, то в лучшем случае она перестанет работать. В худшем – система зависнет.

Чистим автозагрузку

Мало кто знает, но программы в автозагрузке тоже влияют на захламленность оперативной памяти. Если в автозагрузке слишком много ненужных приложений, то операционная система будет стартовать очень долго. Но это еще полбеды.

Те программы, которые запустились вместе с ОС работают в фоне постоянно и нагружают оперативную память устройства очень сильно. Потому и нужно почистить автозагрузку. Сделать это можно при помощи того же «Диспетчера задач». Ин6трукция такая.

1. Запускаем «Диспетчер задач» уже известным нам способом (или сочетанием клавиш «Ctrl+Shift+Esc»). В нем сразу переходим на вкладку «Автозагрузка».

2. Выбираем ненужное приложение, кликаем по нему правой кнопкой мыши и выбираем «Отключить».

Следует повторить эту процедуру для всех программ, кроме системных. После отключения всех ненужных компонентов обязательно нужно перезагрузить компьютер или ноутбук для того, чтобы операционная система могла применить изменения.

Используем сторонние приложения

Нет сомнений в том, что определенные приложения разгрузят оперативную память быстрее и качественнее, чем пользователь. Но самые эффективные результаты достигаются в тех случаях, когда применены все вышеописанные настройки и задействованы приложения.

Мы рассмотрим несколько наиболее эффективных и популярных программ для очистки оперативной памяти компьютера от ненужного мусора. Они совершенно бесплатны и просты в использовании.

KCleaner

Не путать с CCleaner. Это мощнейшее приложение для быстрой очистки оперативной памяти. Оно совершенно не затрагивает системные службы, и в этом его главный плюс. Программа работает быстро и четко в любых ситуациях.

Скачать приложение можно совершенно бесплатно с официального сайта производителя. Установка происходит по стандартному сценарию. Единственное – не нужно менять путь установки. Алгоритм действий очень прост.

1. Запускаем программу с помощью ярлыка на рабочем столе.

2. Если нужна обычная очистка, то в главном окне программы щелкаем на кнопку «Очистить». Процесс начнется автоматически. По завершении приложение выдаст соответствующее сообщение.

3. Однако лучше всего использовать кнопку «Clean&Restart». Она запускает глубокую очистку, во время которой компьютер перезагружается.

Выполнять такую процедуру рекомендуется раз в месяц. KCleaner – это одна из тех программ, которые должны быть на компьютере любого пользователя. Она помогает поддерживать нормальную работу компьютера в любых условиях.

Mz RAM Booster

Еще одна превосходная утилита для работы с оперативной памятью. Она не только умеет чистить RAM, но и обладает богатым инструментарием по ее оптимизации. Интерфейс программы интуитивно понятен. Хоть адекватного русского языка и нет.

Скачать утилиту можно совершенно бесплатно с официального сайта разработчика. Процесс установки стандартен. Вопросов не возникнет даже у новичков. А для очистки оперативной памяти при помощи этой программы нужно сделать следующее.

1. Запускаем утилиту при помощи соответствующей иконки.

2. В главном окне программы достаточно нажать только одну кнопку «Smart Optimize». Начнется процесс очистки и оптимизации памяти. Когда он завершится, программа выдаст сообщение. На английском языке.

3. Есть у программы и опция оптимизации процессора. Для запуска этого задания достаточно нажать на кнопку «CPU Boost».

Mz RAM Booster умеет также оптимизировать ОС и постоянно мониторит состояние оперативной памяти и процессора. Весьма полезная программа, которая точно должна быть под рукой у каждого пользователя.

Wise Memory Optimizer

Небольшая утилита с широкими возможностями. Она предназначена исключительно для работы с оперативной памятью и умеет производить ее полную оптимизацию. Программа совершенно бесплатна, обладает приятным интерфейсом и полностью на русском языке.

Скачать утилиту можно совершенно бесплатно на сайте разработчика. Кстати, она использует открытый исходный код, что тоже неплохо. Установка утилиты очень проста. А пользоваться ей еще проще. Для оптимизации нужно сделать следующее.

1. Запускаем программу при помощи ярлыка на рабочем столе.

2. В главном окне нажимаем всего только одну кнопку под названием «Оптимизация».

Процесс начнется и закончится автоматически. Wise Memory Optimizer – один из самых миниатюрных оптимизаторов оперативной памяти. Весит приложение в установленном виде всего несколько мегабайт.

Заключение

Итак, выше мы рассмотрели способы оптимизации оперативной памяти компьютера и ее очистки. Конечно, использовать приложения намного проще, но лучшие результаты достигаются при применении ручных и автоматических методов. Стоит об этом помнить.

ВИДЕО: Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере

Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере

ТОП-3 Простых способа как очистить оперативную память на компьютере или ноутбуке под управлением в Windows 7/10

Источник

Битва за «оперативку» – как почистить ОЗУ?

Оперативная память позволяет хранить используемую в данный момент информацию для быстрого доступа. Она является энергозависимой, поэтому очищается всякий раз, как перезагружается или выключается компьютер. Объем ОЗУ ограничен, а при ее заполнении система производит выгрузку данных в файл подкачки. Постоянная нехватка «оперативки» приводит к снижению производительности ПК, появляются тормоза и лаги. В статье ниже назовем основных потребителей оперативной памяти, а также рассмотрим способы ее очистки.

Что ест оперативную память

Первым потребителем ОЗУ конечно же является сама операционная система. Объем, который она по умолчанию забирает, зависит от версии Windows и количества активных служб. Впрочем, последние оказывают лишь небольшое влияние на показатель. В Windows 10 достаточно большое количество «оперативки» расходуется на сбор и передачу телеметрии (статистики) – подробная информация, а также метод отключения функции представлен ниже.

Вторая категория потребителей – пользовательские программы. Они устанавливаются в качестве дополнения к стандартным средствам системы. Это тот же MS Office, видеоплеер, аудиоплеер, редактор фотографий, браузер и т.д. Если часть программ добавлена в автозагрузку, то они будут потреблять ОЗУ сразу после запуска Windows, независимо от использования в текущем сеансе.

Остальная память расходуется по причине различного рода программных сбоев и действий вирусов. Последние могут загрузить «оперативку» на 100%, при этом в диспетчере задач не получится увидеть процесс, потребляющий все ресурсы компьютера.

Как очистить оперативную память

На ноутбуке или стационарном компьютере, а также на разных версиях ОС Windows процедура очистки будет аналогична. Различия заключаются только в методе достижения желаемого результата. Осуществить задуманное можно как вручную, так и путем применения специальных программ.

Ручная очистка ОЗУ

Начать освобождение оперативной памяти следует с просмотра списка программ, добавленных в автозагрузку. Чем меньше их количество, тем свободней окажется начальный объем ОЗУ. Пошаговая инструкция для Windows 7 и ниже:

Для Windows 8 и 10 процедура аналогична, только настройка автозагрузки находится в приложении «Диспетчер задач». В него можно перейти, нажав сочетание клавиш Ctrl+Shift+Esc или кликнув правой кнопкой мыши по нижней панели и выбрав соответствующий пункт меню. Далее следует перейти во вкладку «Автозагрузка» и выполнить отключение программ. Здесь же получится увидеть степень их влияния на запуск ОС.

Очистка оперативной памяти в Windows 7 и других версиях операционной системы непосредственно во время ее работы выполняется через «Диспетчер задач». Для этого потребуется:

После выбора пункта «Снять задачу» произойдет немедленное закрытие программы. Чтобы не потерять данные (например, набранный в Word текст), следует предварительно их сохранить.

Самопроизвольное восстановление закрытого процесса может свидетельствовать о том, что он относится к деятельности вредоносного ПО. Аналогичный эффект наблюдается при закрытии системной задачи.

Программы для очистки ОЗУ

Дальше рассмотрим, как почистить оперативку на Виндовс 7, 8 и 10 с помощью специальных утилит. Самой простой программой, справляющейся с поставленной задачей, является Memory Cleaner. Она проведет анализ загруженности ОЗУ и найдет способы ее оптимизации. Программа использует встроенные возможности Windows, поэтому за работоспособность системы можно не переживать.

На главной вкладке отобразится информация относительно общего и занятного объема оперативной памяти, выделенной емкости диска для файла подкачки, а также средние значения по потреблению ОЗУ за время работы Memory Cleaner. Если показатель загруженности превышает 60%, необходимо кликнуть по кнопке «Trim Processes Working Set» – произойдет сброс ненужных процессов. Для очистки системного кэша используется кнопка «Clear System Cache» – функция позволяет оптимизировать использование памяти.

Mem Reduct – бесплатная и легкая программа для очистки оперативной памяти. Разработчики регулярно выпускают обновления, поэтому поддерживаются все версии Windows, начиная с XP (SP 3). Утилита использует не задокументированные встроенные системные функции для очистки системного кэша, что дает высвобождение от 10 до 50% ОЗУ. Пользоваться ею крайне просто, после запуска потребуется лишь нажать кнопку «Clean Memory». Также на главном окне можно посмотреть, сколько оперативной памяти потребляет Windows 10 до и после проведения оптимизации.

Mz RAM Booster – программа повышает быстродействие компьютера за счет автоматического высвобождения оперативной памяти и правильной настройки некоторых системных параметров Windows. Ее работа требует минимального количества ресурсов и практически не нагружает процессор. Поддерживается Windows XP, 2003, Vista и 7. На главном окне будет видна загрузка ОЗУ, справа в один клик запускается оптимизация работы системы или очистка ОЗУ.

Поиск и удаление вирусов

Как было сказано выше, деятельность вирусов также может приводить к чрезмерному потреблению оперативной памяти. Обнаружить вредоносное ПО в списке процессов через «Диспетчер задач» удается не всегда, поэтому, чтобы убедиться в его отсутствии, следует провести сканирование системы установленным антивирусом.

В настройках задач необходимо отметить все имеющиеся накопители – процедура займет больше времени, но позволит найти все угрозы. Иногда программа предлагает провести сканирование в среде DOS при следующем запуске системы – это необходимо для анализа системных файлов, занятых во время работы Windows.

Как разгрузить оперативную память в Windows 10

Новый способ высвобождения RAM-памяти появился с выходом очередной версии Windows. Дело в том, что в систему встроены сервисы отслеживания действий пользователя и сбора статистики. На их функционирование тратятся лишние ресурсы, в то время как для владельца ПК они не приносят очевидной выгоды.

Отключить функции слежения позволит программа Destroy Windows 10 Spying. Скачать установочный файл можно в разделе «DWS last version». После установки и запуска необходимо:

Процедура завершена. Чтобы убедиться в освобождении лишней оперативной памяти, можно открыть «Диспетчер задач» и сравнить текущие показатели с предыдущими.

Источник

Вы могли бы использовать отладчик ядра, который позволял бы получать доступ к «сырой» памяти, как SoftICE для Windows. Вы также можете настроить GDB для работы в качестве отладчика для ядра Linux. Если виртуальная машина является опцией, некоторые программы виртуализации поддерживают сохранение состояния машины (включая ОЗУ) на диск, который затем можно проанализировать. Следует отметить, однако, что большинство «современных» операционных систем используют рандомизацию размещения адресного пространства (ASLR). Настоящая карта физической памяти системы специально фрагментирована, чтобы помочь смягчить различные проблемы безопасности и эксплойты (например , переполнение буфера стека/кучи ).

Однако для данной программы, работающей в современной операционной системе, вы можете получить логическую карту памяти для данного процесса / потока — при условии, что у вас есть соответствующие символы отладки и отладчик. Если вам нужен общий вид, если программное / аппаратное обеспечение использует виртуальную память, ситуация становится значительно более сложной. Опять же, хотя, если вы буквально хотите, что только в оперативной памяти, см. Первый абзац.

Файл подкачки, или виртуальная память — это системный файл на жестком диске компьютера, который Windows использует, чтобы компенсировать нехватку оперативной памяти, если приложениям ее не хватает. Что это за файл, как он работает, что о нем нужно знать, как увеличить файл подкачки в Windows 10, или, наоборот — как отключить файл подкачки в Windows 10, читайте в нашей шпаргалке. В конце статьи — короткое видео, в котором все показано. 

Файл подкачки в Windows: зачем он нужен и как работает?

Всем известно, что запущенные приложения на компьютере выполняются в оперативной памяти (ОЗУ, RAM). Выражаясь образно, при запуске приложения считываются с жесткого диска и временно «переписываются» в оперативную память. Вся информация в приложениях тоже хранится в оперативной памяти до тех пор, пока вы их не закроете.

Вы наверняка слышали про соревнования для хакеров и программисотв Capture The Flag (CTF). Одно из направлений таких соревнований — форензика (компьютерная криминалистика). В CTF теме форезники посвящены несколько групп: ана­лиз жес­тко­го дис­ка, анализ опе­ратив­ной памяти и изучение дам­пов тра­фика.

Еще по теме: Форензик кейс взлома Linux-серверов

В этой статье мы поговорим об анализе дампа оперативной памяти и рассмотрим одну довольно интересную особенность GIMP.

Анализ дампа оперативной памяти

Анализ памяти актуален в ситуации, когда есть или был физичес­кий дос­туп к компьютеру и была возможность снять дамп опе­ратив­ной памяти. По слепку оперативной памяти мож­но опре­делить, какие при­ложе­ния запус­кались во вре­мя работы компьютера, дан­ные про­цес­сов и получить другую полезную информацию. Все это можно сделать пока пользователь не вык­лючил или не перезаг­рузил компь­ютер.

Как правило, для ана­лиза оперативной памяти используют нес­коль­ко при­ложе­ний: Volatility, Memoryze и Autopsy (в связ­ке с Volatility). Существуют и другие менее популярные инструменты, но в рамках этой статьи рассматривать их не будем.

Вы спросите а как же Autopsy? Конечно, это удобный инструмент, который может одним нажатием кнопки сделать комплексный анализ всего дампа. Но, если речь идет о соревнованиях, тогда важна скорость получения результатов, поэтому лучше использовать, что-то другое. Мы для анализа оперативной памяти будем исполь­зовать Volatility.

Перейдем к заданию. У нас есть дамп опе­ратив­ной памяти и хеш MD5 для его про­вер­ки.

Скачиваем образ памяти на компьютер. В моем случае Kali Linux.

Теперь распакуем слепок памяти:

И сра­зу же про­верим, что с ним все в поряд­ке:

Ес­ли хеш не сошел­ся с исходным хешем — при­дет­ся еще раз ска­чать архив.

Определение профиля

Для начала надо опре­делить вер­сию ОС, с которой был снят дамп. Это мож­но сде­лать коман­дой imageinfo:

Обратите вни­мание на строч­ку с Suggested Profiles. Это указывает на версию дампа опе­ратив­ной памяти — Win10x64_18362. Теперь нужно ука­зать аргу­мент —profile Win10x64_18362 для пос­леду­ющих команд.

Если возникли какие-то непонятки с Volatility, тогда добро пожаловать Wiki.

Получение информацию о компьютере

Для начала надо искать информа­цию о:

• про­цес­сах;
• ис­тории бра­узе­ра;
• ис­тории запущен­ных команд в кон­соли.

Этих 3 пун­ктов хва­тит для опре­деле­ния направления даль­нейшей раз­ведки.

Процессы

Что­бы най­ти про­цес­сы, нам дос­таточ­но исполь­зовать коман­ду pstree. Есть еще pslist, но пер­вая коман­да удоб­нее, потому что показы­вает про­цес­сы в виде дерева — так нам­ного про­ще понять, на какие из них сто­ит обра­тить вни­мание.

Ни­чего бро­сающе­гося в гла­за, вро­де pswd_manager.exe или not_a_virus.exe, не вид­но, поэто­му про­дол­жим нашу раз­ведку.

История браузера

Хоть в хин­те (см. первый скрин) и говори­лось, что «уда­лен­ный» не обя­затель­но зна­чит «бра­узер», мы про­верим этот век­тор. В Volatility есть готовый пла­гин для прос­мотра исто­рии Internet Explorer — iehistory. И не говорите, что им уже ник­то не поль­зует­ся!

Ко­ман­да работа­ла слиш­ком дол­го на моей машине (поряд­ка 20 минут) и завер­шать­ся не пла­ниро­вала. Это не счи­тает­ся нор­маль­ным поведе­нием для Volatility, сле­дова­тель­но, тут искать нечего.

Список команд в консоли

Есть еще одна удоб­ная фун­кция для про­вер­ки всех вве­ден­ных в кон­соль команд. Воз­можно, поль­зователь запус­кал что‑нибудь из кон­соли или хра­нил там важ­ные дан­ные (нап­ример, флаг). Про­верить все из кон­соли мож­но с помощью коман­ды cmdscan.

Тут чис­то — сле­дова­тель­но, тер­минал тоже не при делах.

Полезный прием при анализе оперативной памяти

Пос­коль­ку до сих пор не наш­лось ничего инте­рес­ного — мы что‑то упус­тили. Мож­но при­менить еще один полез­ный при­ем при ана­лизе опе­ратив­ной памяти — пос­мотреть на скрин­шот рабоче­го сто­ла. Помога­ет он не силь­но час­то, но поз­воля­ет уви­деть более пол­ную кар­тину.

Сде­лать скрин­шот всех окон про­цес­сов в сис­теме мож­но с помощью коман­ды screenshot. Обя­затель­но нуж­но ука­зать сущес­тву­ющую конеч­ную дирек­торию, где будут находить­ся все сним­ки.

Важ­но понимать, что боль­шинс­тво кар­тинок будут пус­тыми: это свя­зано с тем, что не все окна вооб­ще могут отоб­ражать­ся (для луч­шего понима­ния рекомен­дую озна­комить­ся с до­кумен­таци­ей).

К сожале­нию, коман­да закан­чива­ется с ошиб­кой, так что этот трюк тоже не про­шел и нам сто­ит вер­нуть­ся к самому началу.

Проверка информации

В наз­вании задачи фигури­рует сло­во remote (уда­лен­ный) — давайте поп­робу­ем най­ти что‑то, что может вза­имо­дей­ство­вать с сетью.

Поп­робу­ем сно­ва про­верить все про­цес­сы, которые у нас фигури­руют в этом слеп­ке опе­ратив­ной памяти. Заметим сре­ди них mstsc.exe — Microsoft Terminal Services Client, или, в прос­тонародье, RDP-кли­ент.

RDP — это проп­риетар­ный про­токол для дос­тупа к уда­лен­ным рабочим сто­лам. Для нас важ­но то, что про­токол пре­дус­матри­вает переда­чу кар­тинки по кад­рам в виде сжа­тых бит­мапов, которые раз­жима­ются и отоб­ража­ются, а в это вре­мя хра­нят­ся в памяти.

Воз­можно, в этом про­цес­се мы смо­жем най­ти флаг. Най­дем его PID, что­бы мы мог­ли сдам­пить память про­цес­са:

Но­мер про­цес­са — 6484.

Дамп памяти

У каж­дого про­цес­са есть своя выделен­ная память, которая хра­нит­ся как раз в опе­ратив­ной памяти (вне­зап­но, не так ли?). Поп­робу­ем сдам­пить ее, что­бы най­ти полез­ную информа­цию из это­го про­цес­са.

Извлечение картинок из дампа памяти

На­поми­наю, что mstsc.exe (да и дру­гие RDP-кли­енты тоже) получа­ют кар­тинку, которую хра­нят у себя где‑то в опе­ратив­ной памяти. Бла­года­ря этой осо­бен­ности мы можем поп­робовать извлечь кар­тинку из это­го дам­па про­цес­са.

Воз­никнет толь­ко одна неболь­шая проб­лема: пра­виль­но подоб­рать сме­щение, так как кар­тинка в памяти про­цес­са хра­нит­ся в сыром виде, и ни binwalk, ни foremost не могут ее отыс­кать, что­бы сох­ранить как отдель­ный файл.

Нуж­но открыть дамп про­цес­са как Raw Image Data, то есть как сырую кар­тинку, ина­че мы не смо­жем под­бирать сме­щение.

Даль­ше появ­ляет­ся окош­ко, где мы можем выбирать сме­щение.

И начина­ем его прок­ручивать. Для удобс­тва я уве­личил свое окош­ко по ширине, что­бы было лег­че управлять пол­зунком. Во вре­мя переме­щения я заметил сле­дующую кар­тинку, которая похожа на кусок рабоче­го сто­ла Windows, что наводит на мысль о бли­зос­ти к фла­гу.

Под­кру­тим еще нем­ного и скор­ректи­руем раз­мер по ширине.

А вот и флаг!

Заключение

Пе­ред решени­ем любых задач не забывайте обновлять исполь­зуемые ути­литы! Не обно­вив ути­литу или неп­равиль­но про­читав докумен­тацию к ней, мож­но попасть в rabbit hole и не сдать задачу вов­ремя. А как мы зна­ем, не быва­ет поз­дно, быва­ет уже не надо.

Еще по теме: Дистрибутивы для криминалистического анализа