Blue Team Field NotesDFIR · SOC · Vulnerability Management
Volatility 2

Installation et profils

Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.

Statut du projet

Volatility 2 est aujourd'hui un outil legacy. Il reste utile pour certains anciens dumps, plugins communautaires et exercices. Pour une nouvelle chaîne d'outils, privilégie Volatility 3.

Environnement isolé

Volatility 2 dépend de Python 2.7. Utilise une VM ou un conteneur dédié afin de ne pas dégrader ton environnement moderne.

# Exemple conceptuel dans une VM legacy
python2 vol.py --info
python2 vol.py -f memory.raw imageinfo

Identifier le profil

python2 vol.py -f memory.raw imageinfo
python2 vol.py -f memory.raw kdbgscan

Compare les profils suggérés avec :

Syntaxe générale

python2 vol.py -f memory.raw --profile=Win10x64_17763 pslist

Validation du profil

python2 vol.py -f memory.raw --profile=Win10x64_17763 pslist
python2 vol.py -f memory.raw --profile=Win10x64_17763 modules
python2 vol.py -f memory.raw --profile=Win10x64_17763 getsids -p 4

Un profil incorrect produit souvent des listes vides, des adresses incohérentes ou des erreurs de lecture.

Conseil opérationnel

Conserve dans tes notes le profil choisi, les profils alternatifs testés et les éléments qui justifient ton choix.

Références officielles