Forensicist

PTKではメモリイメージの解析にも対応しています。キーワード検索の他に、メモリ解析ツールThe Volatility Frameworkを活用しているため細かな解析もできます。

イメージの登録時にメモリイメージであった場合、ファイルシステムのタイプで"RAM dump"の選択が可能になります。

解析モードではFile analysis、Timeline、GalleryなどのタブがないかわりにRAM analysisのタブが用意されています。ここからVolatilityのフロントエンドとして各種の情報を参照できます。

以下は解析タイプで"files"を実行した結果です。処理にある程度時間がかかりますが、結果は見やすく表示されています。