برای کسب تخصص در جرمیابی حافظه(Memory Forensic) و یا بهتر بگویم DFIR می بایست اطلاعاتی در خصوص ساختار پردازه ها(Process Structure)، نحوه فراخوانی پردازه بر روی حافظه یا همان مموری و همچنین در خصوص نحوه استفاده از ابزار windbg بعنوان دیباگر ویندوزی داشته باشید
در این ویدیو علاوه بر مباحث ذگر شده فوق با ساختار و معماری Eprocess و سطح یوزر و کرنل در ویندوز مطالبی ارائه شده است. در سطح کاربر در موقع اجرای فایل اجرایی، چگونه یک برنامه از Win32 API و کتابخانه ها و توابع بهره مند میگردد و در صورتی که یک برنامه مخرب(Malware) از این ظرفیت برای جعل api و یا قلاب کردن بر روی جداولی همچون IAT و یا IDT ،SSDT و غیره استفاده می نماید تا عملیات های مخرب خود را انجام دهد به دور از شناسایی شدن و تشخیص توسط ابزارهای امنیتی و فارنزیکی
