Extract Data for Further Analysis

تعد pcqf أداة تسمح بتفريغ معلومات بدء التشغيل والعمليات الفعلية إلى جانب الذاكرة لأجل تحليلها أكثر، ومن المفيد حقًا على سبيل المثال إذا لم يكن لديك وقت للتحقق من كل شيء على الكمبيوتر وتريد التحقق مرة أخرى مما إذا كان هناك أي شيء مشبوه لاحقًا.

يجب تشغيل هذا البرنامج من قرص يو إس بي عليه مساحة تخزين كافية والنقر مرتين على الملف الثنائي واتباع التعليمات.

ما لم يكن لديك سبب وجيه للقيام بذلك من المستحسن عدم تسجيل لقطة للذاكرة لأنها تحتوي على الكثير من المعلومات الخاصة (قد تحتوي على كلمات مرور على سبيل المثال).

بمجرد الانتهاء سيتم إنشاء مجلد باسم معرّف الاستحواذ (سلسلة من الأرقام السداسية العشرية) ويشمل:

• ملف profile.json يحتوي على معلومات أساسية على نظام الكمبيوتر.

• ملف process_list.json يحتوي على قائمة بالعمليات قيد التشغيل.

• ملف autoruns.json يحتوي على قائمة بجميع العناصر التي تستمر بالعمل على النظام.

• مجلد autoruns_bins/ يحتوي على نسخ من الملفات والملفات التنفيذية التي تم تحديدها على أنها تستمر بالعمل في ملف JSON السابق.

• مجلد process_bins/ يحتوي على نسخ عمليات قيد التشغيل.

• في حال طلبته سيحتوي مجلد memory/ على تفريغ ذاكرة فعلي بالإضافة إلى بعض البيانات الوصفية.