Tuto metodu volíme v takové fázi, ve které již máme jednoznačně identifikovaného člena sítě z kterého probíhal útok a máme ho izolovaného od ostatních prvků sítě. Na kterých již můžeme pracovat na obnově škod.

Identifikace vlastně není nic jiného než pouze nalezení procesu v process manageru

Proč to chceme? Existuje metoda, otisku paměti pro danný proces. Jestliže tedy provedu Memory dump na danný process mám vše co obsahuje a má uloženo v operační paměti a z této části jsme schopni při troše štěstí schopni provést extraxci klíče v případě, že se v paměti nachází a hlavně víme-li jak ji nalézt.