易失性数据(volatile data),工学-公安技术-网络安全与执法-电子数据取证,存在于网络中传输的数据或运行于计算机等电子设备中随电源切断或关机而消失的数据。易失性数据还包括随系统状态变化而变化的数据。正在运行的计算机中的易失性数据包括屏幕信息和内存RAM中的信息。屏幕信息来自显存,内存RAM保存有打开的文档、进程、网络连接、cmd命令行历史、即时聊天、剪贴板、Windows密码哈希值、BitLocker恢复密钥等信息。即时聊天,除了利用专门的聊天工具外,还可以通过浏览器、游戏软件等进行,这些聊天信息没有文件存储过程,退出即消失,是易失性数据。易失性数据应在线提取,通过拍摄照片、视频或使用专用工具进行。计算机内存中的网络连接、进程等信息可以现场提取,也可以提取整个内存,然后借助专用工具进行解析。网络中传输的数据可以通过抓包软件提取。易失性数据提取、固定的顺序,应根据其易变程度和提取过程可能产生的影响来确定。例如屏幕信息应优先拍摄照片或视频固定,网络连接信息是随时间的流逝而变化的。易失性数据获取可能使得部分内存数据被破坏。