RAM Inhalte sichern

[Johannes Vieweg]

Hallo zusammen,

ich beschäftige mich zur Zeit etwas mit Computerforensik und
bin
gerade dabei herauszufinden, wie man den RAM Inhalt sichern
kann.
Als Tool dafür gibts aus dem TCT (The Coroners Toolkit) das
Werkzeug
pcat, welches den RAM Inhalt eines Prozesses ausgibt. Leider
versagt
das Tool seinen Dienst bei Systemprozessen (init, khubd
usw.).
Versuche ich den Umweg über das /proc/[pid]/mem, wird das
leider
auch nix. Da kommt bei einem "cat mem" nur ein "No such
process".
Ist ja auch irgendwie klar, da Systemprozesse besonderen
Schutz
bedürfen. 
Also, weiß jemand noch ne andere Möglichkeit, vom RAM
Abbilder zu
erstellen?
Das Thema Ramdisk kann ich vergessen, da ich mit Erstellen
einer
Ramdisk das laufende System verändere.

Johannes