Volatility 3
Workflow d’enquête mémoire
Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.
Étape 1 — Intégrité et contexte
sha256sum memory.raw
vol -f memory.raw windows.info | tee 01_windows_info.txt
Note le nom supposé de l'hôte, l'heure de capture, le fuseau et l'outil d'acquisition.
Étape 2 — Baseline des processus
vol -f memory.raw windows.pstree > 02_pstree.txt
vol -f memory.raw windows.psscan > 03_psscan.txt
vol -f memory.raw windows.cmdline > 04_cmdline.txt
Recherche : processus mal nommés, chemins utilisateurs, parents incohérents, commandes encodées, exécution depuis %TEMP%.
Étape 3 — Réseau
vol -f memory.raw windows.netscan > 05_netscan.txt
Corrèle les PID avec les processus et enrichis les IP uniquement après avoir vérifié la confidentialité des données.
Étape 4 — Analyse ciblée
PID=1234
vol -f memory.raw windows.dlllist --pid $PID > 06_dlllist_$PID.txt
vol -f memory.raw windows.handles --pid $PID > 07_handles_$PID.txt
vol -f memory.raw windows.vadinfo --pid $PID > 08_vadinfo_$PID.txt
vol -f memory.raw -o dumps windows.dumpfiles --pid $PID
Étape 5 — Conclusion
Documente :
- comportement observé ;
- artefacts confirmant ou infirmant l'hypothèse ;
- portée estimée ;
- IOC extraits ;
- limites liées au moment de la capture.
Scénario — Beacon HTTPS
Un processus inconnu possède une connexion périodique vers une IP externe en 443. Vérifie son parent, sa ligne de commande, ses DLL, ses VAD, ses fichiers et la périodicité dans les logs réseau. Le port 443 seul ne prouve pas un trafic TLS légitime.