Exercise – Capturing RAM Memory 

Step-by-step guide

Launch FTK Imager: Open the FTK Imager application on your computer. 

Initiate memory capture: Click on File in the top menu bar, then select Capture Memory. 

Configure destination:

• Click the browse button (...) next to Destination Path. 
• Navigate to and select a folder where you want to save the image, preferably an external drive. 
• Enter a filename for the memory dump (e.g., memdump.mem).

Set options (optional but recommended):

• Include pagefile: Check the box to include the pagefile in the capture, which can provide additional data. 
• Create AD1 file: Check this box to create a single, compressed, and hashed image file that includes the memory dump and pagefile (if selected). 

Start the capture: Click the Capture Memory button to begin the process. A progress bar will show the status, and you will need to wait for it to finish. 

คำแนะนำแบบทีละขั้นตอน

1. เปิดโปรแกรม FTK Imager: เปิดโปรแกรม FTK Imager บนคอมพิวเตอร์ของคุณ

2. เริ่มการบันทึกภาพหน่วยความจำ: คลิกที่เมนู File บนแถบเมนูด้านบน แล้วเลือก Capture Memory

3. กำหนดค่าตำแหน่งบันทึกไฟล์:

   • คลิกปุ่มเบราว์เซอร์ (...) next to Destination Path

   • ไปยังและเลือกโฟลเดอร์ที่คุณต้องการบันทึกไฟล์ภาพ ซึ่งควรเป็นไดรฟ์ภายนอก

   • ใส่ชื่อไฟล์สำหรับข้อมูลหน่วยความจำ (เช่น memdump.mem)

4. กำหนดตัวเลือก (เป็นทางเลือกแต่แนะนำให้ทำ):

   • รวมไฟล์เพจ (Include pagefile): เลือกช่องนี้เพื่อรวมข้อมูลจาก pagefile ในการบันทึก ซึ่งอาจให้ข้อมูลเพิ่มเติม

   • สร้างไฟล์ AD1 (Create AD1 file): เลือกช่องนี้เพื่อสร้างไฟล์ภาพแบบเดี่ยวที่ถูกบีบอัดและมีค่าแฮช ซึ่งจะรวมการดัมป์หน่วยความจำและไฟล์เพจ (หากเลือกไว้)

5. เริ่มการบันทึก: คลิกปุ่ม Capture Memory เพื่อเริ่มกระบวนการ แถบแสดงสถานะจะแสดงความคืบหน้า และคุณต้องรอจนกว่ากระบวนการจะเสร็จสมบูรณ์

   

อ่านเพิ่มเติม

• Step-by-step guide for creating a disk image (FTK Imager)
• Acquiring an Image with FTK Imager
• Memory Forensic Tools
• Volatile Data
• Capture Live RAM Contents with Free Tool from Belkasoft!
• The Memory Process File System (MemProcFS)
• MAGNET AXIOM MEMORY ANALYSIS
• volatility-workbench

• ACE certification 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD