Blue Team Field NotesDFIR · SOC · Vulnerability Management
Volatility 3

Installation et symboles

Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.

Installation

Volatility 3 fonctionne avec Python 3. Utilise un environnement virtuel.

python3 -m venv ~/venvs/vol3
source ~/venvs/vol3/bin/activate
python -m pip install --upgrade pip
python -m pip install volatility3
vol -h

Depuis le dépôt :

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 -m venv .venv
source .venv/bin/activate
pip install -e .
python vol.py -h

Identification du système

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Volatility 3 résout les symboles à partir des informations du noyau. Le premier lancement peut être plus lent si les symboles doivent être téléchargés ou construits.

Cache et fonctionnement hors ligne

Prépare les symboles avant une mission isolée. Vérifie le répertoire de cache affiché par :

vol -vv -f memory.raw windows.info

Syntaxe importante

Les options globales se placent avant le plugin.

vol -f memory.raw -o output windows.dumpfiles --pid 1234
Conseil opérationnel

Enregistre la version de Volatility, la version de Python et le hash du dump. Cela facilite la reproductibilité si un plugin évolue.

Références officielles