Magnet RAM Capture est-il gratuit ?

Oui. Magnet Forensics distribue RAM Capture gratuitement pour usage individuel et entreprise. Ce n'est pas le même produit que Magnet AXIOM, qui est commercial.

Quel format produit Magnet RAM Capture ?

Une image mémoire physique brute (.raw) où le décalage fichier égale l'adresse physique. C'est le format le plus portable, lu nativement par Volatility, Rekall et ramparser.

Puis-je lancer Magnet RAM Capture à distance ?

Pas officiellement. C'est un outil GUI local nécessitant un accès console / RDP. Pour l'acquisition à distance à l'échelle, envisagez WinPmem avec un système de déploiement ou un endpoint commercial.

Faut-il capturer avant ou après avoir isolé l'hôte du réseau ?

Capturez d'abord, puis isolez. L'isolation réseau peut déclencher un malware qui détecte la perte de connectivité et s'auto-supprime de la mémoire. Acquérez l'état en direct, puis isolez.

Magnet RAM Capture : guide d'acquisition 2026 (et la suite)

Magnet RAM Capture est un outil gratuit d'acquisition mémoire à pilote signé, de Magnet Forensics. Avec DumpIt, ce sont les deux choix par défaut pour l'IR Windows. Voici la version pratique : comment capturer, ce que contient la sortie, et que faire ensuite. Pour le contexte plus large d'où se situe l'acquisition dans une investigation, voir le guide terrain de forensique RAM et la comparaison côte à côte des outils d'acquisition.

Pourquoi Magnet RAM Capture

Trois raisons en font le défaut de fait :

Gratuit. Magnet le distribue sans frais, séparé de la suite commerciale AXIOM.
Pilote signé. Critique sur les Windows modernes où la signature de pilotes est strictement appliquée. Les outils d'acquisition non signés ne se chargent simplement pas.
Sortie brute. Un .raw est ce qu'on peut donner de plus portable à un analyseur. Volatility 3, Rekall et ramparser le lisent tous nativement. Voir formats de fichier d'image mémoire pour les formats qui requièrent une conversion préalable.

Ce que contient la capture

Une image mémoire physique brute, copie octet par octet de la RAM de l'hôte où le décalage fichier égale l'adresse physique. Cela signifie que tout ce qui tourne, caché ou visible, s'y trouve :

Espace d'adressage de chaque processus (noyau + utilisateur).
Modules chargés, callbacks noyau, tables de pages.
Handles de fichiers ouverts, sockets réseau, ruches registre mappées en mémoire.
Identifiants en clair, secrets déchiffrés, malware en mémoire.

Cette sensibilité explique aussi pourquoi l'analyse côté client compte : une image RAM est le pire fichier à envoyer à un SaaS tiers.

La procédure de capture

Le schéma how-to ci-dessus contient la marche à pas. Les notes qui n'y entraient pas :

Vitesse et taille

Comptez ~1 Go/min sur stockage externe NVMe moderne. Un système de 32 Go prend ~30 minutes. Si la cible d'écriture est plus lente (FAT32 en USB 2.0, partage réseau), ce sera pire. Étalonnez toujours en conditions de laboratoire avant de citer le chiffre pour des chronologies judiciaires.

Ce qui peut mal tourner

Le pilote ne se charge pas. Presque toujours Secure Boot + politique de signature de pilotes. Vérifiez si un EDR d'entreprise bloque le pilote Magnet.
Plus d'espace en cours de capture. La sortie fait la taille totale de la RAM, donc un hôte de 64 Go nécessite au moins 64 Go libres sur la cible. Prévoyez 2×.
La cible d'écriture est chiffrée via l'hôte. N'écrivez pas sur un volume BitLocker de l'hôte. Vous solliciteriez la pile même que vous essayez de préserver.
L'hôte plante. Rare mais possible sur des systèmes avec protection mémoire agressive (certaines configurations HVCI). Les images partielles restent parfois utiles.

Hashage et chaîne de possession

Après la capture :

Get-FileHash HOST01-2026-05-25T14-32Z.raw -Algorithm SHA256

Consignez :

Nom d'hôte et numéro de série / étiquette d'actif.
Horodatages UTC de début/fin de capture.
Outil de capture + version (Magnet RAM Capture x.y.z).
Nom du fichier de sortie + SHA-256.
Nom de l'examinateur + organisation.
Raison de la capture (ID d'incident, numéro de ticket).

Que faire de l'image

L'image seule est juste des octets. Le vrai travail commence à l'analyse. Deux voies, dans cet ordre.

Triage rapide avec ramparser

Ouvrez l'application web ramparser, cliquez sur Sélectionner une image RAM, choisissez le .raw. En quelques secondes :

Une liste de processus précise au symbole (pslist, avec offsets PDB).
Une liste pool-scan (psscan) montrant les processus sortis ou déliés.
psxview : le diff qui signale les processus cachés par DKOM.
pstree : hiérarchie parent/enfant.
cmdline : lignes de commande exactes, depuis le PEB.
dlllist : modules chargés par processus.
netscan : points d'extrémité réseau.
modules : modules noyau, résolus via les globaux PDB.

Rien n'est envoyé. L'article flux d'analyse mémoire couvre que faire de la sortie de triage.

Analyse approfondie avec Volatility 3

Quand le triage signale quelque chose, passez à Volatility 3 :

# Injection de processus
vol -f HOST01.raw windows.malfind

# Chronologie
vol -f HOST01.raw timeliner.Timeliner > timeline.csv

# Scan YARA
vol -f HOST01.raw windows.yarascan.YaraScan --yara-file rules.yar

L'étendue des plugins de Volatility est inégalée, c'est l'outil pour l'analyse approfondie.

Deux questions récurrentes

Peut-il imager une machine virtuelle ?

Il tourne dans l'invité, donc il capture la RAM de l'invité uniquement. Pour la mémoire de l'hôte, il vous faut une acquisition au niveau hôte (outil entièrement différent). Pour une VM que vous contrôlez, mettre la VM en pause et récupérer le .vmem est plus rapide et moins invasif que de lancer un agent dans l'invité.

La sortie est-elle la même que celle de DumpIt ?

Les deux produisent une image physique brute, mais DumpIt peut aussi émettre une sortie .dmp (en forme de crash dump) Microsoft. Pour la compatibilité avec les analyseurs, préférez brut. Magnet RAM Capture est en raw uniquement.

Où il s'insère dans une trousse d'acquisition plus large

Pour la mémoire Windows en 2026 :

Capturer avec Magnet RAM Capture, écrire sur un média externe, hasher.
Trier avec ramparser : ouvrir le .raw dans votre navigateur, lire le verdict en secondes.
Approfondir avec Volatility 3 si le triage signale quelque chose.

Vous n'avez rien à installer pour l'étape 2. C'est tout l'enjeu.