Ein RAM-Dump ist eine vollständige Kopie des Arbeitsspeichers zu einem bestimmten Zeitpunkt. In der digitalen Forensik liefert er Informationen, die auf der Festplatte nicht vorhanden sind: laufende Prozesse, offene Netzwerkverbindungen, entschlüsselte Passwörter und Malware-Fragmente. Die Sicherung muss vor dem Herunterfahren des Systems erfolgen, da RAM-Inhalte flüchtig sind. Du verwendest dafür spezialisierte Werkzeuge wie WinPmem oder LiME. Im Incident-Response-Prozess gehört der RAM-Dump zu den ersten Schritten der Beweissicherung. Eine dokumentierte Chain of Custody stellt sicher, dass die Ergebnisse später belastbar sind.