El instituto SANS recomienda realizar una imagen RAM antes de intentar recopilar datos de sistemas en vivo ( Enlace SANS ).
También estoy siguiendo una capacitación en línea donde el capacitador recopila datos en vivo (lista de procesos, conexiones de red, ...) sin realizar primero una imagen RAM.
En este último caso, ¿las pruebas recogidas son admisibles en un tribunal (si el caso tiene que ir tan lejos)?
Todas las pruebas recopiladas podrían aceptarse en un tribunal.
Pero, la diferencia es el valor probatorio de su análisis.
Si tiene un mandato judicial, su trabajo y su experiencia tendrán una gran influencia en futuros debates. De manera similar, si está acompañado por un alguacil que puede atestiguar sus acciones durante el análisis del sistema, su aspecto cubrirá el aspecto legal y su análisis tendrá una gran influencia.
Hacer una imagen RAM cuando sea posible es una buena práctica, además, tomar mucha información de un sistema en vivo es una buena manera de recuperar artefactos. Si puede hacer una línea de tiempo entre los dos análisis, tendrá una idea clara y clara del estado del sistema durante su último "encendido".
Se recomienda hacer una imagen de RAM primero porque podría alterar la RAM durante sus operaciones en el sistema en vivo. Y si hace la imagen de RAM después, tendrá algunos artefactos de sus operaciones y no del sistema antes de su intervención.
Vale la pena mencionar que si no descarga el contenido de la RAM una vez que la computadora se apaga, si hay algún cifrado de disco, no podrá acceder a la unidad de disco duro. Al menos con una imagen de RAM, puede encontrar la cadena de contraseña.
Lea otras preguntas en las etiquetas forensics