Для создания дампа оперативной памяти Windows нам потребуются две инструмента — DumpIt из пакета Comae Memory Toolkit и подобную ей Belkasoft RAM Capturer. Полученные .mem-образы можно будет открыть для парсинга в Volatility, Rekall, или Belkasoft Evidence Center.
Первый дамп оперативной памяти Windows делаем, используя утилиту DumpIt.
Создание образа RAM в программе DumpIt!
Второй дамп RAM мы сделаем в Belkasoft RAM Capturer.
Создание образа оперативной памяти в программе Belkasoft RAM Capturer
Окно программы создания дампа оперативной памяти в программе Belkasoft RAM Capturer
Настало время открыть полученный нами дамп RAM в комбайне под названием Belkasoft Evidence Center.
Результат монтирования образа памяти в Belkasoft Evidence Center
Образы HDD-диска, полученные на самом первом шаге, с легкостью можно скормить Arsenal Image Mounter.
Окно мастера монтирования образа HDD в Arsenal Image Mounter
Список образов, готовых к монтированию, в Arsenal Image Mounter
Главное окно Arsenal Image Mounter
Автор не я, статья взята с spy-soft.net