Forensique et réponse
Forensique mémoire
Aussi appelé: Forensique de la RAM, Analyse mémoire volatile
Définition
Discipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire.
Exemples
- Utilisation du plugin malfind de Volatility 3 pour repérer un shellcode injecté dans une image mémoire.
- Récupération de la sortie Mimikatz d'un attaquant depuis un dump RAM Windows.
Termes liés
Investigation numérique
Discipline scientifique consistant à identifier, préserver, analyser et documenter les preuves numériques issues d'ordinateurs, de réseaux et d'appareils, de manière juridiquement recevable.
DFIR (Investigation numérique et réponse à incident)
Discipline combinée qui fusionne l'investigation forensique numérique et la réponse à incident pour détecter, contenir, éradiquer et tirer les leçons des incidents de cybersécurité.
Malware sans fichier
Logiciel malveillant qui s'exécute principalement en mémoire et exploite des outils système légitimes, en évitant les exécutables traditionnels sur disque.
Malware Analysis
Malware Analysis — definition coming soon.
Forensique disque
Analyse des supports de stockage non volatils — HDD, SSD, clés USB — pour récupérer et interpréter les artefacts du système de fichiers, des applications et de l'OS.
Evidence Acquisition
Evidence Acquisition — definition coming soon.