L'istituto SANS consiglia di eseguire un'immagine RAM prima di provare a raccogliere dati da sistemi live ( link SANS ).
Sto anche seguendo un corso di formazione online in cui il formatore raccoglie dati in tempo reale (elenco processi, connessioni di rete, ...) senza eseguire prima un'immagine RAM.
In quest'ultimo caso, le prove raccolte sono ammissibili in tribunale (se il caso deve arrivare così lontano)?
Tutte le prove raccolte potrebbero essere accettate in tribunale.
Ma la differenza è il valore probatorio della tua analisi.
Se hai un mandato da un giudice, il tuo lavoro e la tua esperienza avranno un'influenza molto strong sui futuri dibattiti. Allo stesso modo, se sei accompagnato da un ufficiale giudiziario che può attestare le tue azioni durante l'analisi del sistema, l'aspetto legale sarà coperto dalla sua funzione e la tua analisi avrà una grande influenza.
Fare un'immagine RAM quando possibile è una buona pratica, inoltre, prendere molte informazioni da un sistema live è un buon modo per recuperare gli artefatti. Se si può fare una cronologia tra le due analisi si avrà una buona e chiara idea dello stato del sistema durante la sua ultima "accensione".
Si consiglia di eseguire prima un'immagine RAM perché è possibile modificare la RAM durante le operazioni sul sistema live. E se fai l'immagine RAM dopo, avrai alcuni artefatti delle tue operazioni e non del sistema prima del tuo intervento.
Vale la pena ricordare che se non si esegue il dump del contenuto della RAM dopo aver spento il computer in caso di crittografia del disco, non sarà possibile accedere all'HDD. Almeno con un'immagine RAM puoi trovare la stringa della password.
Leggi altre domande sui tag forensics