Volatility

L’outil Volatility existe en deux versions, chacune compatibles avec une version de python 2 ou 3. La version Volatility2 (python2) semble plus efficace que Volatility3.

Affichage des processus

vol -f <memorydump file> windows.pstree.PsTree
vol -f <memorydump file> windows.pslist.PsList

Affichage des connexions

vol -f <memorydump file> windows.netscan.NetScan

Affichage des lignes de commandes exécutées

vol -f <memorydump file> windows.cmdline.CmdLine

Dump d’un fichier

vol -f <memorydump file> windows.dumpfiles.DumpFiles --pid <pid>