Криминалистика оперативной памяти

Криминалистика памяти работает с энергозависимыми данными, исчезающими при выключении, и вскрывает доказательства, недоступные дисковой криминалистике: вредоносное ПО, существующее только в памяти, распакованные пейлоады, ключи шифрования, сеансы браузера, открытые учётные данные и техники сокрытия руткитов. Захват выполняется WinPmem, DumpIt, AVML или снимками гипервизора, выходные файлы — RAW-дампы или vmem VMware. Фреймворки Volatility 3 и Rekall разбирают структуры ОС, перечисляют процессы, DLL, сокеты, ульи реестра и инъекции кода. Это критично при расследованиях fileless-вредоносов и APT и дополняет дисковую и сетевую криминалистику в DFIR по NIST SP 800-86.