🏅Résumé des plugins

Voici la syntaxe pour charger un module :

python3 vol.py -f <chemin_vers_image_mémoire> <système d'exploitation>.<module>

Analyse des processus

Commande	Description
pslist	Afficher les processus actifs.
pstree	Présenter les processus sous forme d'arborescence.
psscan	Analyser la mémoire pour détecter les processus masqués.

Analyse des fichiers et des connexions réseau

Commande	Description
filescan	Rechercher les objets de fichier en mémoire.
handles	Afficher les handles ouverts par chaque processus.
netscan	Analyser la mémoire pour détecter les sockets réseau.
netstat	Identifier les connexions réseau présentes.
connections	Afficher les connexions réseau actives.

Analyse du registre et des modules

Commande	Description
imageinfo	Fournit des informations de base sur l'image mémoire.
hivelist	Liste les hôtes de registre actuellement chargés en mémoire.
printkey	Affiche les sous-clés et les valeurs d'une clé de registre spécifique.
hivedump	Extrait un hôte de registre spécifique en mémoire pour une analyse ultérieure.
modscan	Recherche les modules dans l'espace utilisateur et le noyau.
driverirp	Affiche les opérations IRP (I/O Request Packet) manipulées par les pilotes.
callbacks	Affiche les callbacks enregistrés par les pilotes.
idt	Affiche la table de descripteurs d'interruption (IDT) actuelle.
apihooks	Recherche les hooks (accrochages) dans les fonctions système et utilisateur.
moddump	Extrait un module spécifique dans un fichier pour une analyse ultérieure.
handles	Affiche les handles ouverts par chaque processus.

filtrer les résultats, la commande grep peut être ajoutée à la fin de n'importe quelle commande de Volatility. Par exemple, | grep <mot-clé> pour filtrer les résultats contenant le mot-clé spécifié.