facebook forensic ?

[nsc500]

e có làm bài lab cho một tài khoản fb(tester) trên máy ảo chạy window xp sp3 chat với một tài khoản fb(helper) khác trên máy thật
cả máy thật và máy ảo đều dùng chrome
sau khi tester và helper chat với nhau e có dùng Dumpit để capture lại RAM để xem lại cuộc nói chuyện đó phân tích với FTK image 3.4.0.1 thì có search theo cấu trúc của facebook protocol format :

{
"t":"msg",
"c":"p_100002239013747",
"s":14,
"ms":[
{
"msg":{
"text":"«content of chat»",
"time":«unix timestamp»,
"clientTime":«local unix timestamp»,
"msgID":"1862585188"
},
"from":«sender’s profile id»,
"to":«recipient’s profile id»,
"from_name":"«sender’s full name»",
"from_first_name":"«sender’s first name»",
"from_gender":1,
"to_name":"«recipiant’s full name>",

e có search JSON format với "text" mà không ra
còn tìm với nội dung một tin nhắn khi chat thì vẫn thấy trong RAM nhưng lại được lặp lại khá nhiều lần
mọi người ai biết tại sao chỉ e với ạ ?