Wenn man RAM sprichwörtlich einfrieren möchte (die Princeton-Methode) oder einen Computer schnell aus- und wieder einschaltet (Die Guillotine), dann benötigt man für die anschließende Sicherung des Arbeitsspeichers ein Programm, das selbst so wenig Speicher wie möglich belegt. Ein derartiges Werkzeug ist msramdmp von Robert Wesley McGrew.
msramdmp ist ein sehr kleines Programm, das den Arbeitsspeicherinhalt auf einen Massenspeicher sichert. Es wird üblicherweise aus einer ebenfalls recht schlanken SYSLINUX-Umgebung gestartet.
Das Programm kopiert dann den Arbeitsspeicherinhalt auf die erste Partition, die als Typ 0x40 markiert ist. Nach getaner Arbeit ändert es den Typ auf 0x41 und zeigt damit an, dass die Partition jetzt Daten enthält. Das Speicherabbild lässt sich dann mit dd oder einem ähnlichen Werkzeug zur Auswertung in ein gewöhnliches Dateisystem kopieren.
McGrew beschreibt ausführlich, wie das Speichermedium für sein msramdmp vorbereitet werden muss. In einem Beitrag in seinem Blog erläutert er außerdem, wie sich msramdmp in einen USB-Stick für die Live Response integrieren lässt.
