Blue Team Field NotesDFIR · SOC · Vulnerability Management
Volatility 2

Processus et réseau

Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.

Processus

vol.py -f memory.raw --profile=PROFILE pslist
vol.py -f memory.raw --profile=PROFILE pstree
vol.py -f memory.raw --profile=PROFILE psscan
vol.py -f memory.raw --profile=PROFILE psxview
vol.py -f memory.raw --profile=PROFILE cmdline
vol.py -f memory.raw --profile=PROFILE consoles

Interprétation

Réseau

vol.py -f memory.raw --profile=PROFILE netscan

Cherche :

DLL et handles

vol.py -f memory.raw --profile=PROFILE dlllist -p 1234
vol.py -f memory.raw --profile=PROFILE handles -p 1234
vol.py -f memory.raw --profile=PROFILE malfind -p 1234

Extraction contrôlée

mkdir -p output/procdump
vol.py -f memory.raw --profile=PROFILE procdump -p 1234 -D output/procdump
sha256sum output/procdump/*
Scénario — Processus Word lançant PowerShell

pstree montre WINWORD.EXE → powershell.exe. Analyse la ligne de commande, les connexions, les zones mémoire suspectes et les fichiers ouverts. La relation parent-enfant augmente le niveau de suspicion mais ne suffit pas seule.

Références officielles