FTK Imager
Acquisition mémoire
Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.
Quand acquérir la RAM
- suspicion de malware sans fichier ;
- chiffrement/ransomware actif ;
- connexions ou sessions en cours ;
- clés et processus volatils ;
- besoin d'analyser injections et commandes.
Workflow
Dans FTK Imager : File → Capture Memory.
Renseigne :
- dossier de destination externe ;
- nom avec hôte et timestamp UTC ;
- option de pagefile uniquement si justifiée ;
- contexte de l'utilisateur et privilèges.
Précautions
Toute acquisition mémoire modifie légèrement le système : processus de l'outil, fichiers créés et pages mémoire. Documente l'outil, la version et l'heure.
Après capture
Get-FileHash .\WIN23_20260703T085500Z.mem -Algorithm SHA256
Puis copie le dump dans le stockage de preuves et analyse une copie avec Volatility.
Données complémentaires
Collecte en parallèle :
Get-Date -Format o
Get-Process
Get-NetTCPConnection
Get-ComputerInfo
À retenir
La RAM est une photographie d'un instant. Une absence d'artefact ne prouve pas qu'un comportement n'a jamais existé.