Volatility 2
Registry et recherche de malware
Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.
Registry
vol.py -f memory.raw --profile=PROFILE hivelist
vol.py -f memory.raw --profile=PROFILE printkey -K 'Software\Microsoft\Windows\CurrentVersion\Run'
vol.py -f memory.raw --profile=PROFILE userassist
vol.py -f memory.raw --profile=PROFILE shimcache
Fichiers en mémoire
vol.py -f memory.raw --profile=PROFILE filescan | grep -i suspicious
vol.py -f memory.raw --profile=PROFILE dumpfiles -Q 0xADDRESS -D output/files
Détection de code injecté
vol.py -f memory.raw --profile=PROFILE malfind
vol.py -f memory.raw --profile=PROFILE apihooks -p 1234
vol.py -f memory.raw --profile=PROFILE ldrmodules -p 1234
Indices à corréler
- pages exécutables et modifiables ;
- en-têtes
MZdans une région privée ; - DLL non liées dans les trois listes du loader ;
- hooks pointant hors du module attendu ;
- commandes, sockets ou handles associés.
Rapport minimal d'un processus suspect
| Élément | Valeur |
|---|---|
| PID / PPID | 1234 / 910 |
| Nom et chemin | powershell.exe |
| Ligne de commande | -enc … |
| Connexions | 198.51.100.8:443 |
| Zone injectée | adresse / protection |
| Hash export | SHA-256 |
| Confiance | élevée / moyenne / faible |
À retenir
`malfind` produit des candidats, pas une preuve définitive de malware. Valide avec désassemblage, réputation, contexte du processus et autres artefacts.