Aide-Mémoire volatility

volatility utilise python2

git clone https://github.com/volatilityfoundation/volatility.git
python2 -m pip install pycrypto
python2 -m pip install distorm3
python2 vol.py

Si on a un image mémoire inconnu
volatility -f Win7-Jigsaw.raw imageinfo
on regarde Suggested Profile(s)

Liste les processsus
volatility -f Win7-Jigsaw.raw –profile=Win7SP1x64 pslist

Liste les dll utilisés par un processus
volatility -f Win7-Jigsaw.raw –profile=Win7SP1x64 dlllist -p 3704

Remnux permet l’analyse de logiciels malicieux. C’est un système d’exploitation préinstallé avec de magnifiques outils comme volatility présenté brièvement dans cet article.