Blue Team Field NotesDFIR · SOC · Vulnerability Management
Volatility 3

Workflow d’enquête mémoire

Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.

Étape 1 — Intégrité et contexte

sha256sum memory.raw
vol -f memory.raw windows.info | tee 01_windows_info.txt

Note le nom supposé de l'hôte, l'heure de capture, le fuseau et l'outil d'acquisition.

Étape 2 — Baseline des processus

vol -f memory.raw windows.pstree > 02_pstree.txt
vol -f memory.raw windows.psscan > 03_psscan.txt
vol -f memory.raw windows.cmdline > 04_cmdline.txt

Recherche : processus mal nommés, chemins utilisateurs, parents incohérents, commandes encodées, exécution depuis %TEMP%.

Étape 3 — Réseau

vol -f memory.raw windows.netscan > 05_netscan.txt

Corrèle les PID avec les processus et enrichis les IP uniquement après avoir vérifié la confidentialité des données.

Étape 4 — Analyse ciblée

PID=1234
vol -f memory.raw windows.dlllist --pid $PID > 06_dlllist_$PID.txt
vol -f memory.raw windows.handles --pid $PID > 07_handles_$PID.txt
vol -f memory.raw windows.vadinfo --pid $PID > 08_vadinfo_$PID.txt
vol -f memory.raw -o dumps windows.dumpfiles --pid $PID

Étape 5 — Conclusion

Documente :

Scénario — Beacon HTTPS

Un processus inconnu possède une connexion périodique vers une IP externe en 443. Vérifie son parent, sa ligne de commande, ses DLL, ses VAD, ses fichiers et la périodicité dans les logs réseau. Le port 443 seul ne prouve pas un trafic TLS légitime.

Références officielles