Arbeitsspeicher

Aus IT-Forensik Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Arbeitsspeicher (Random Access Memory - RAM) ist ein schneller Speicher, welcher im Gegensatz zu einem Datenträger flüchtige Daten enthält.

In der IT-Forensik werden forensische Artefakte aus dem Arbeitsspeicher eines Computers extrahiert und ausgewertet. Hier lassen sich wichtige Informationen über den Laufzeitzustand des Rechners gewinnen, solange er mit Strom versorgt wird.

Aus diesen Informationen kann man darauf schließen, welche Anwendungen auf dem Rechner liefen (Prozesse), auf welche Daten sie zugreifen und welche Netzwerkverbindungen aktiv waren. Durch die Analyse des Arbeitsspeichers während einer forensischen Untersuchung können Beweismittel gefunden werden, die bei einer reinen Post-Mortem-Analyse sonst nicht einbezogen worden wären.

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Arbeitsspeicher&oldid=1358