Blue Team Field NotesDFIR · SOC · Vulnerability Management
Volatility 2

Registry et recherche de malware

Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.

Registry

vol.py -f memory.raw --profile=PROFILE hivelist
vol.py -f memory.raw --profile=PROFILE printkey -K 'Software\Microsoft\Windows\CurrentVersion\Run'
vol.py -f memory.raw --profile=PROFILE userassist
vol.py -f memory.raw --profile=PROFILE shimcache

Fichiers en mémoire

vol.py -f memory.raw --profile=PROFILE filescan | grep -i suspicious
vol.py -f memory.raw --profile=PROFILE dumpfiles -Q 0xADDRESS -D output/files

Détection de code injecté

vol.py -f memory.raw --profile=PROFILE malfind
vol.py -f memory.raw --profile=PROFILE apihooks -p 1234
vol.py -f memory.raw --profile=PROFILE ldrmodules -p 1234

Indices à corréler

Rapport minimal d'un processus suspect

Élément Valeur
PID / PPID 1234 / 910
Nom et chemin powershell.exe
Ligne de commande -enc …
Connexions 198.51.100.8:443
Zone injectée adresse / protection
Hash export SHA-256
Confiance élevée / moyenne / faible
À retenir

`malfind` produit des candidats, pas une preuve définitive de malware. Valide avec désassemblage, réputation, contexte du processus et autres artefacts.

Références officielles