Introdução
Coleta de Memoria RAM, deve ser executado somente se o momento permitir, ou seja, somente se a maquina estiver ligada no momento da apreensão.
O processo de DUMP de RAM, pode ser feito pelo FTK ou pelo WINPMEM, lembre-se de anotar na cadeia de custodia todas as alterações feitas com intenção de manter o estado da coisa.
Dump de RAM por FTK Imager
Para fazer o DUMP de RAM pelo FTK, proceda da seguinte forma:
1. Inserir o pendrive com a aplicação e espaço livre para gravar o dump;
2. Execute o FTK Imager com privilégios administrativos;
2. Ao abrir o FTK, clique sobre Capture Memory conforme exemplo;
3. Defina os parâmetros e inicialize o processo de captura;
4. Aguarde a conclusão;
5. Após a conclusão do dump proceda com o desligamento da maquina.
Dump de RAM por winpmem
O programa WINPMEM é de código aberto, pode ser consultado no repositório do Github. Para fazer o dump por ele, proceda:
1. Abrir o CMD com privilégios administrativos;
2. Navegue até a unidade USB, e execute a aplicação já parametrizada, conforme exemplo;
3. Proceda com o shutdown da maquina.
Dump de RAM por winpmem + netcat
Esta é uma opção, que encontro interessante pela forma que pode ser extraído a memória RAM. Muito útil para ambientes corporativos em que o acesso a dispositivos USB estão bloqueados. No entanto, este processo é extremamente lento!
1. Faça o download do winpmem + nc for windows;
2. Abra um prompt de comando do Windows com privilégios administrativos;
3. Em um servidor, inicie a escuta do netcat, para salvar em um arquivo, conforme exemplo:
4. Na maquina que irá fazer a coleta de RAM, execute o winpmem da seguinte forma;
5. Infelizmente esse processo não tem um um progress bar, então caberá aqui você decidir quando a transmissão estiver sido concluída. Após o termino via netcat segue validação;
Realizar o dump de RAM, e enviar o mesmo pelo netcat com certeza você irá estar alterando dados importante em memória RAM. O mesmo foi citado como forma alternativa de propor uma maneira de realizar o DUMP.
