Es gibt verschiedene Tools, mit denen der Speicher eines Windows-Systems entladen werden kann, indem eigene Treiber verwendet werden, um direkt auf den Speicher zuzugreifen. Eine Liste dieser Tools finden Sie hier .
Sie können dann das erzeugte Bild mit einem Speicherforensik-Framework wie etwa der Volatilität analysieren.