Arbeitsspeicher

Arbeitsspeicher (Random Access Memory - RAM) ist ein schneller Speicher, welcher im Gegensatz zu einem Datenträger flüchtige Daten enthält.

In der IT-Forensik werden forensische Artefakte aus dem Arbeitsspeicher eines Computers extrahiert und ausgewertet. Hier lassen sich wichtige Informationen über den Laufzeitzustand des Rechners gewinnen, solange er mit Strom versorgt wird.

Aus diesen Informationen kann man darauf schließen, welche Anwendungen auf dem Rechner liefen (Prozesse), auf welche Daten sie zugreifen und welche Netzwerkverbindungen aktiv waren. Durch die Analyse des Arbeitsspeichers während einer forensischen Untersuchung können Beweismittel gefunden werden, die bei einer reinen Post-Mortem-Analyse sonst nicht einbezogen worden wären.