Startseite‎ > ‎IT-Forensik‎ > ‎RAM-Dump‎ > ‎Windows‎ > ‎

Verzeichnisse und Dateien

C:\hilberfil.sys
Eine Datei in die Alle Informationen, auch aus dem Arbeitsspeicher beinhaltet, wenn ein Notebook im laufenden betrieb zusammengeklappt wird, sich also im Ruhezusand befindet.
Voraussetzung dafür ist, dass unter Energieoptionen der Hilbernation-Modus eingeschaltet wurde.


C:\pagefile.sys
Beinhaltet den Auslagerungsspeicher.
Einstellungen für die Größe der Datei:
Windows XP: Systemsteuerung > System> Erweitert > Systemleistung> Einstellungen > Erweitert>Virtueller Arbeitsspeicher
Windows7: Systemsteuerung > System> Erweiterte Systemleistungen> Leistung> Erweitert> Virtueller Arbeitsspeicher
Der Dateiname kann abweichen, lässt sich aber in der Registry auslesen:
HKEY_LOCAL_MASCHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement



Comments