En Digital Forensics, como práctica recomendada, un investigador debe recopilar datos desde la fuente más volátil hasta la fuente menos volátil. Generalmente, cuando se habla de adquisición dinámica / en vivo, la mayoría de los libros de texto comienzan con la RAM como la fuente de datos más volátil, aunque los registros de la CPU son más volátiles. Sin embargo, parece que no puedo encontrar una fuente que describa la adquisición de datos de la CPU de un dispositivo sospechoso. Dado que la ejecución de cualquier programa cambiará al menos un registro (EIP / RIP). Así que mis preguntas son, ¿Se está descuidando los datos dentro de los registros porque no hay un valor investigativo para ellos? ¿O porque no es posible?
Y, dependiendo de la respuesta a la pregunta anterior, ¿hay alguna forma de hacerlo?