Для получения дампа оперативной памяти можно использовать утилиту под названием FTK Imager. Скачиваем установщик и устанавливаем саму утилиту, затем запускаем ей от имени администратора.
После запуска кликаем по меню File и выбираем пункт Capture Memory. Затем нажимаем на кнопку Browse и указываем каталог, куда будет сохранен образ.
Далее нужно отметить галочкой Crеate AD1 и нажать Capture Memory, что в свою очередь запустит процедуру создания образа памяти. С помощью активации Include pagefile, можно добавить в дамп файл подкачки.
После того, как процедура создания образа памяти будет запущена, вам нужно будет немного подождать, а по завершению процедуры программа создаст три файла: memdamp.mem, memcapture.ad1 и memcapturead1.tхt.
Файл AD1 можно открыть с помощью расширения архиватора 7-Zip, а вот для анализа дампа MEM можно использовать линуксовую утилиту под названием Volatility.
#dump #memory #дамп