====== magnet RAM Capture======
[[digital_forensics:digital_forensics|{{ :digital_forensics:icon.jpg?120|}}]]

===== context=====
dit document beschrijft de werking van magnet RAM Capture, een tool om een RAM image te maken

===== installatie=====
  - as stand-alone as they come
  - vriendelijk op je knieën gaan en via email krijg je je [[https://www.magnetforensics.com/resources/magnet-ram-capture|download]] link
  - laat de download gerust es langs [[https://www.virustotal.com|VirusTotal]] passeren.\\ Kans is groot dat er wel een paar aan de bel trekken. Een memory dump geeft je tenslotte toegang tot heel veel info. \\ Met een hamer kan je een kast bouwen, je kan er ook iemand mee de schedel inslaan. Ja, dat is ons wel bekend. 
===== werking =====
==== algemeen ====

in hoofdzaak kan je met Magnet RAM Capture: 
  * een volledige dump van het geheugen maken. 
  * alle processen, threads, netwerkverbindingen, registry waarden, credentials die op dat moment in het geheugen zijn geladen, naar een bestand dumpen. 
  * dat bestand kan je dan later volledige analyseren ahv bv [[digital_forensics:volatility|Volatility]]
==== memory dump maken ====
  * kopieer het bestand naar een (voldoende grote) USB-stick en dubbelklik.\\ De exe draaien vanaf een UNC pad werkt wel, maar niet vanaf een gemonteerde drive letter. 
  * geef een pad op waar je het RAW image bestand wilt opslaan en klik **Start**\\ UNC-paden worden ook hier ondersteund{{ :digital_forensics:magnetramcapture.png?400 |}}
==== memory dump bekijken====
  * zie:  [[digital_forensics:volatility|Volatility]]
===== meer info =====
[[https://www.magnetforensics.com/blog/acquiring-memory-with-magnet-ram-capture/|artikel op MagnetForensics]]
{{tag>RAM image}}