Blue Team Field NotesDFIR · SOC · Vulnerability Management
FTK Imager

Acquisition mémoire

Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.

Quand acquérir la RAM

Workflow

Dans FTK Imager : File → Capture Memory.

Renseigne :

Précautions

Toute acquisition mémoire modifie légèrement le système : processus de l'outil, fichiers créés et pages mémoire. Documente l'outil, la version et l'heure.

Après capture

Get-FileHash .\WIN23_20260703T085500Z.mem -Algorithm SHA256

Puis copie le dump dans le stockage de preuves et analyse une copie avec Volatility.

Données complémentaires

Collecte en parallèle :

Get-Date -Format o
Get-Process
Get-NetTCPConnection
Get-ComputerInfo
À retenir

La RAM est une photographie d'un instant. Une absence d'artefact ne prouve pas qu'un comportement n'a jamais existé.

Références officielles