Retour au cours

Bases de la forensique de la mémoire (RAM)

Maîtrise de la Cybersécurité : de Zéro à Héros

Capturer les preuves volatiles

La RAM (mémoire vive) contient des données volatiles effacées lors de la mise hors tension, mais elle détient des preuves cruciales lors d'un incident, surtout pour les malwares sans fichier.

Que trouve-t-on dans la RAM ?

  • Clés de déchiffrement et clés de session.
  • Mots de passe en clair récemment utilisés.
  • Processus en cours et connexions réseau.
  • Preuves de rootkits ou de code injecté.

Acquisition de la mémoire

Cela nécessite l'exécution d'outils spécialisés (comme DumpIt ou FTK Imager Lite) sur le système en cours d'exécution pour copier tout le contenu de la RAM dans un fichier avant l'extinction.

Analyse de la mémoire (L'outil Volatility)

Le Volatility Framework est un outil open-source avancé utilisé pour analyser les images mémoire. Il permet d'extraire les processus en cours, les sockets réseau, l'historique des commandes et les hachages de mots de passe de la RAM capturée.