Volatility 2
Processus et réseau
Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.
Processus
vol.py -f memory.raw --profile=PROFILE pslist
vol.py -f memory.raw --profile=PROFILE pstree
vol.py -f memory.raw --profile=PROFILE psscan
vol.py -f memory.raw --profile=PROFILE psxview
vol.py -f memory.raw --profile=PROFILE cmdline
vol.py -f memory.raw --profile=PROFILE consoles
Interprétation
pslistsuit la liste active ;psscanscanne la mémoire pour retrouver des objets, y compris terminés ou masqués ;psxviewcompare plusieurs méthodes d'énumération ;pstreeaide à repérer un parent anormal.
Réseau
vol.py -f memory.raw --profile=PROFILE netscan
Cherche :
- IP publiques inhabituelles ;
- ports d'administration exposés ;
- processus sans raison réseau ;
- connexions au moment de l'incident ;
- écoute locale inattendue.
DLL et handles
vol.py -f memory.raw --profile=PROFILE dlllist -p 1234
vol.py -f memory.raw --profile=PROFILE handles -p 1234
vol.py -f memory.raw --profile=PROFILE malfind -p 1234
Extraction contrôlée
mkdir -p output/procdump
vol.py -f memory.raw --profile=PROFILE procdump -p 1234 -D output/procdump
sha256sum output/procdump/*
Scénario — Processus Word lançant PowerShell
pstree montre WINWORD.EXE → powershell.exe. Analyse la ligne de commande, les connexions, les zones mémoire suspectes et les fichiers ouverts. La relation parent-enfant augmente le niveau de suspicion mais ne suffit pas seule.