Memory Forensics – Windows Arbeitsspeicher auswerten mit Volatility
Memory-Image erstellen Um von einem Windows-Rechner ein Memory Image zu erstellen, stehen einem eine grosse Auswahl an Werkzeugen zur Verfügung. Profitools können sogar über Netzwerkschnittstellen RAM dumpen. Zum experimentieren reichen allerdings Tools wie WinPMEM oder RamCapturer. Die Downloadlinks finden sich am Ende dieses Beitrags. Als einfachste Methode ruft man das Programm WinPMEM wie folgt aus der Kommandozeile (mit Administrationsberechtigung) auf:... Artikel ansehen