Volatility 2
Installation et profils
Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.
Statut du projet
Volatility 2 est aujourd'hui un outil legacy. Il reste utile pour certains anciens dumps, plugins communautaires et exercices. Pour une nouvelle chaîne d'outils, privilégie Volatility 3.
Environnement isolé
Volatility 2 dépend de Python 2.7. Utilise une VM ou un conteneur dédié afin de ne pas dégrader ton environnement moderne.
# Exemple conceptuel dans une VM legacy
python2 vol.py --info
python2 vol.py -f memory.raw imageinfo
Identifier le profil
python2 vol.py -f memory.raw imageinfo
python2 vol.py -f memory.raw kdbgscan
Compare les profils suggérés avec :
- version et build Windows ;
- architecture x86/x64 ;
KDBGvalide ;- résultat cohérent de
pslistetmodules.
Syntaxe générale
python2 vol.py -f memory.raw --profile=Win10x64_17763 pslist
Validation du profil
python2 vol.py -f memory.raw --profile=Win10x64_17763 pslist
python2 vol.py -f memory.raw --profile=Win10x64_17763 modules
python2 vol.py -f memory.raw --profile=Win10x64_17763 getsids -p 4
Un profil incorrect produit souvent des listes vides, des adresses incohérentes ou des erreurs de lecture.
Conseil opérationnel
Conserve dans tes notes le profil choisi, les profils alternatifs testés et les éléments qui justifient ton choix.