====== Získání obrazu paměti pomocí nástroje FTK Imager ====== Praktický příklad vytvoření obrazu operační paměti **systému MS Windows** (XP/Vista/7/8) pomocí nástroje FTK Imager Lite. ===== Příprava mimo podezřelý počítač ===== - Stáhnutí nástroje [[http://accessdata.com/product-download|FTK Imager Lite]]. - Rozbalení nástroje na flash disk / vypálení na CD. ===== Co je potřeba k zásahu ===== * Flashdisk/CD s FTK Imager Lite. * Externí disk / flashdisk dostatečné velikosti. * Znalost administrátorského hesla - vhodné, ale není nezbytné, FTK Imager Lite udělá obraz z paměti dostupné uživateli, pod kterým je spuštěn. ===== Operace s podezřelým počítačem ===== - Vložení flashdisku / CD s FTK Imager Lite. - Připojení externího média (externí disk, dostatečně velký flashdisk). - Spuštění ''FTK Imager.exe'' jako administrátor (v tomto příkladu je známo heslo administrátora). - Výběr možnosti **File > Capture Memory**. {{cs:navody:memory-image:ftk-imager01.png}} - Nastavení jména souboru (textové pole k zadání) a cílového adresáře (pomocí tlačítka **Browse**).\\ {{cs:navody:memory-image:ftk-imager02.png}} - Po kliknutí na **Capture Memory** bude zahájeno vytváření obrazu paměti.\\ {{cs:navody:memory-image:ftk-imager03.png}} * V tomto příkladu je obraz ukládán na flashdisk přes USB2, takže vytvoření trvalo cca 20 minut. - Na zvoleném výstupním zařízení se nachází soubor F:\2012-07-24_09-23_medabeda.cesnet.cz_memdump.mem V tomto případě je velikost operační paměti necelé 4GB (ukazatel průběhu zaokrouhluje dolů), takže postačil flashdisk se souborovým systémem FAT32, u větší velikosti by bylo třeba mít zařízení s souborovým systémem podporujícím větší soubory (např. NTFS). - Odebrání externího média a média s FTK Memory Readerem - Vypnutí počítače vytažením napájecího kabelu