Získání obrazu paměti pomocí nástroje FTK Imager

Praktický příklad vytvoření obrazu operační paměti systému MS Windows (XP/Vista/7/8) pomocí nástroje FTK Imager Lite.

1. Stáhnutí nástroje FTK Imager Lite.
2. Rozbalení nástroje na flash disk / vypálení na CD.

• Flashdisk/CD s FTK Imager Lite.
• Externí disk / flashdisk dostatečné velikosti.
• Znalost administrátorského hesla - vhodné, ale není nezbytné, FTK Imager Lite udělá obraz z paměti dostupné uživateli, pod kterým je spuštěn.

1. Vložení flashdisku / CD s FTK Imager Lite.
2. Připojení externího média (externí disk, dostatečně velký flashdisk).
3. Spuštění FTK Imager.exe jako administrátor (v tomto příkladu je známo heslo administrátora).
4. Výběr možnosti File > Capture Memory.
5. Nastavení jména souboru (textové pole k zadání) a cílového adresáře (pomocí tlačítka Browse).
   
6. Po kliknutí na Capture Memory bude zahájeno vytváření obrazu paměti.
   
   • V tomto příkladu je obraz ukládán na flashdisk přes USB2, takže vytvoření trvalo cca 20 minut.
7. Na zvoleném výstupním zařízení se nachází soubor

   F:\2012-07-24_09-23_medabeda.cesnet.cz_memdump.mem

   V tomto případě je velikost operační paměti necelé 4GB (ukazatel průběhu zaokrouhluje dolů), takže postačil flashdisk se souborovým systémem FAT32, u větší velikosti by bylo třeba mít zařízení s souborovým systémem podporujícím větší soubory (např. NTFS).

8. Odebrání externího média a média s FTK Memory Readerem
9. Vypnutí počítače vytažením napájecího kabelu