Forensique mémoire
Qu'est-ce que Forensique mémoire ?
Forensique mémoireDiscipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire.
La forensique mémoire vise les données volatiles disparaissant à l'extinction et expose des preuves inaccessibles à la forensique disque : malwares ne résidant qu'en mémoire, charges déballées, clés de chiffrement, sessions de navigateur, identifiants en clair et techniques de dissimulation des rootkits. L'acquisition utilise WinPmem, DumpIt, AVML ou les snapshots d'hyperviseurs et produit des dumps bruts ou fichiers vmem VMware. Volatility 3 et Rekall parsent les structures OS pour énumérer processus, DLL, sockets, ruches du registre et injections de code. Essentielle pour les enquêtes sur malwares sans fichier et APT, elle complète la forensique disque et réseau dans des workflows DFIR alignés sur NIST SP 800-86.
● Exemples
- 01
Utilisation du plugin malfind de Volatility 3 pour repérer un shellcode injecté dans une image mémoire.
- 02
Récupération de la sortie Mimikatz d'un attaquant depuis un dump RAM Windows.
● Questions fréquentes
Qu'est-ce que Forensique mémoire ?
Discipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Forensique mémoire ?
Discipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire.
Comment se défendre contre Forensique mémoire ?
Les défenses contre Forensique mémoire combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Forensique mémoire ?
Noms alternatifs courants : Forensique de la RAM, Analyse mémoire volatile.