memory-forensics

Vue d'ensemble

Qu'est-ce que memory-forensics ?

La compétence memory-forensics offre un workflow structuré pour l'acquisition, l'analyse et l'extraction d'artefacts à partir de dumps mémoire. Elle est conçue pour les professionnels de la sécurité, les intervenants en réponse aux incidents et les analystes de logiciels malveillants qui doivent examiner la mémoire volatile à la recherche de preuves de compromission, d'activités malveillantes ou de l'état du système lors d'audits de sécurité.

À qui s'adresse cette compétence ?

• Analystes en sécurité réalisant des réponses aux incidents
• Chercheurs en logiciels malveillants effectuant du reverse engineering
• Enquêteurs judiciaires analysant des captures RAM
• Professionnels IT ayant besoin d'extraire des artefacts de machines en direct ou virtuelles

Quels problèmes résout-elle ?

• Simplifie l'acquisition de mémoire sur Windows, Linux, macOS et machines virtuelles
• Guide l'utilisateur dans l'utilisation de Volatility 3 pour l'analyse des processus et l'extraction d'artefacts
• Aide à identifier les activités malveillantes, les mécanismes de persistance et les artefacts en mémoire

Comment l'utiliser

Étapes d'installation

1. Installez la compétence avec :

   npx skills add https://github.com/wshobson/agents --skill memory-forensics

2. Consultez la documentation principale dans SKILL.md pour un aperçu des workflows et outils pris en charge.

3. Explorez les fichiers complémentaires tels que README.md, AGENTS.md et metadata.json pour plus de contexte et de détails d'intégration.

Guide d'acquisition de mémoire

Windows

• Utilisez des outils comme winpmem_mini_x64.exe, DumpIt.exe ou des options avec interface graphique telles que Belkasoft RAM Capturer et Magnet RAM Capture pour acquérir la mémoire au format brut.

Linux

• Recommandé : LiME (Linux Memory Extractor) pour une acquisition via module noyau.
• Alternatives : /dev/mem (avec permissions) ou /proc/kcore pour des dumps au format ELF.

macOS

• Utilisez osxpmem pour des dumps mémoire bruts, ou des outils commerciaux comme MacQuisition.

Machines virtuelles

• VMware : copiez le fichier .vmem.
• VirtualBox : utilisez vboxmanage debugvm pour dumper la mémoire.
• QEMU : utilisez virsh dump <domain> memory.raw --memory-only.
• Hyper-V : l'état mémoire est inclus dans les checkpoints VM.

Analyse des dumps mémoire

• Installez Volatility 3 avec pip install volatility3.
• Téléchargez et configurez les tables de symboles pour l'analyse Windows depuis la Volatility Foundation.
• Utilisez les plugins Volatility 3 pour lister les processus, extraire les artefacts et identifier les activités suspectes.

Adapter le workflow

• Personnalisez le workflow selon les outils, systèmes d'exploitation et politiques de sécurité de votre organisation.
• Intégrez les étapes memory-forensics dans vos playbooks de réponse aux incidents ou d'analyse de malwares.

FAQ

Quels systèmes d'exploitation sont supportés par memory-forensics ?

La compétence fournit des conseils d'acquisition et d'analyse pour Windows, Linux, macOS et les plateformes de virtualisation courantes.

Quels outils sont nécessaires pour utiliser memory-forensics ?

Vous aurez besoin d'outils d'acquisition mémoire adaptés à votre OS (par exemple WinPmem, LiME, osxpmem) et de Volatility 3 pour l'analyse. Consultez SKILL.md pour les recommandations spécifiques et exemples d'utilisation.

Puis-je utiliser cette compétence pour une réponse aux incidents en direct ?

Oui. Le workflow memory-forensics est conçu pour l'analyse en direct et hors ligne, ce qui le rend adapté à la réponse rapide et aux enquêtes post-incidents.

Où puis-je trouver plus de détails ou des scripts ?

Consultez l'onglet Fichiers du dépôt pour les scripts d'accompagnement, références et ressources supplémentaires. Commencez par SKILL.md pour le résumé principal du workflow.