Command Center

Search for a vulnerability, tool, or protocol...

Defensive

Memory Forensics — Analyse de la RAM

Pourquoi et comment exploiter une image mémoire en réponse à incident : artefacts clés, workflow de triage, limites et bonnes pratiques de préservation.

14 mars 2026Peran2 min de lecture
#memory-forensics#ram#incident-response#triage#volatility#edr

Pourquoi la RAM est cruciale

La mémoire vive contient des informations éphémères souvent invisibles sur disque :

  • Processus et injections en mémoire
  • Connexions réseau actives
  • Clés de chiffrement en mémoire (selon contexte)
  • Commandes et handles, DLL/so partagées
  • Artefacts de malware “fileless”

En réponse à incident, l’analyse RAM permet souvent de confirmer une compromission et d’identifier ce qui tourne maintenant.

Préservation (principes)

  • Documenter : machine, heure, contexte, actions.
  • Minimiser l’impact : chaque action change la mémoire.
  • Protéger la chaîne de conservation (chain of custody) si besoin.

Conseil : privilégier des procédures validées en amont (runbooks IR), plutôt que d’improviser sous pression.

Workflow de triage (haut niveau)

1) Acquisition

  • Capturer une image mémoire via un outil approuvé dans votre environnement.
  • Sauvegarder aussi les métadonnées : version OS, uptime, profils, horodatages.

2) Vérification d’intégrité

  • Hasher l’image (intégrité, traçabilité).

3) Analyse orientée questions

  • Quels processus sont suspects ?
  • Y a-t-il des connexions inhabituelles ?
  • Y a-t-il des modules injectés / hooks / artefacts de persistence ?

4) Corrélation

  • Croiser avec EDR, SIEM, logs système, DNS/proxy.

Artefacts clés à rechercher

Processus

  • Arborescences parent/enfant anormales.
  • Processus signés vs non signés (selon plateforme).
  • Processus avec noms ressemblants (typosquatting).

Réseau

  • Connexions sortantes vers destinations inédites.
  • Ports et protocoles inattendus pour le rôle de la machine.

Injections et anomalies

  • Sections mémoire exécutables inhabituelles.
  • Modules chargés depuis des emplacements non standards.
  • Hooks dans des APIs courantes.

Outils (écosystème)

Les outils populaires incluent des frameworks d’analyse mémoire (ex : Volatility 3) et des capacités EDR permettant l’acquisition et le triage.

Garder en tête : les résultats dépendent fortement de la version OS, des symboles, et de la qualité de l’acquisition.

Limites & précautions

  • Une image mémoire est un instantané : elle ne raconte pas toute la chronologie.
  • Les artefacts peuvent être altérés par l’attaquant (anti-forensics).
  • L’analyse requiert du contexte (baseline) pour distinguer le normal du suspect.

Bonnes pratiques pour être prêt

  • Disposer d’un playbook IR “mémoire” (qui, quand, comment, où stocker).
  • Tester régulièrement l’acquisition sur des machines de référence.
  • Maintenir un inventaire et des baselines (process/services attendus).

Voir aussi