====== Získání obrazu paměti pomocí nástroje FTK Imager ======
Praktický příklad vytvoření obrazu operační paměti **systému MS Windows** (XP/Vista/7/8) pomocí nástroje FTK Imager Lite.

===== Příprava mimo podezřelý počítač =====
  - Stáhnutí nástroje [[http://accessdata.com/product-download|FTK Imager Lite]].
  - Rozbalení nástroje na flash disk / vypálení na CD.

===== Co je potřeba k zásahu =====
  * Flashdisk/CD s FTK Imager Lite.
  * Externí disk / flashdisk dostatečné velikosti.
  * Znalost administrátorského hesla - vhodné, ale není nezbytné, FTK Imager Lite udělá obraz z paměti dostupné uživateli, pod kterým je spuštěn.

===== Operace s podezřelým počítačem =====
  - Vložení flashdisku / CD s FTK Imager Lite.
  - Připojení externího média (externí disk, dostatečně velký flashdisk).
  - Spuštění ''FTK Imager.exe'' jako administrátor (v tomto příkladu je známo heslo administrátora).
  - Výběr možnosti **File > Capture Memory**. {{cs:navody:memory-image:ftk-imager01.png}}
  - Nastavení jména souboru (textové pole k zadání) a cílového adresáře (pomocí tlačítka **Browse**).\\ {{cs:navody:memory-image:ftk-imager02.png}}
  - Po kliknutí na **Capture Memory** bude zahájeno vytváření obrazu paměti.\\ {{cs:navody:memory-image:ftk-imager03.png}} 
    * V tomto příkladu je obraz ukládán na flashdisk přes USB2, takže vytvoření trvalo cca 20 minut.
  - Na zvoleném výstupním zařízení se nachází soubor <code>F:\2012-07-24_09-23_medabeda.cesnet.cz_memdump.mem</code> V tomto případě je velikost operační paměti necelé 4GB (ukazatel průběhu zaokrouhluje dolů), takže postačil flashdisk se souborovým systémem FAT32, u větší velikosti by bylo třeba mít zařízení s souborovým systémem podporujícím větší soubory (např. NTFS).
  - Odebrání externího média a média s FTK Memory Readerem
  - Vypnutí počítače vytažením napájecího kabelu