Comment analyser une image RAM dans votre navigateur

Vous avez un MemoryDump.mem et vous voulez une liste de processus maintenant, sans installer Python, Volatility, ni packs de symboles. Le flux ci-dessous prend environ une minute de bout en bout sur une image de bureau typique.

Le flux

1. Ouvrir l'analyseur. Page web statique ; rien n'est installé.
2. Sélectionner votre image. Cliquez sur Sélectionner une image RAM et choisissez l'image (.mem, .raw, .vmem, .lime, .bin). Elle reste sur l'appareil.
3. Attendre la détection. ramparser parcourt l'image, identifie l'OS depuis le contenu (CodeView noyau pour Windows, bannière Linux version pour Linux), et sur Windows récupère le PDB public ntoskrnl correspondant.
4. Lire les résultats. Chaque plugin applicable affiche son propre tableau : pslist, psscan, psxview, pstree, cmdline, dlllist, modules, netscan. Sur Linux, taskscan tourne aussi.

Ce qui se passe sous le capot

• L'image est lue par pages de 4 Kio via FileReaderSync à l'intérieur d'un Web Worker. Une image de 32 Go est traitée sans jamais être entièrement chargée en mémoire.
• L'OS est détecté depuis le contenu, pas l'extension. Les crash dumps (.dmp) et fichiers d'hibernation ne sont pas des dispositions physiques plates et échoueront à la détection. Convertissez-les d'abord ; voir formats de fichier d'image mémoire.
• Pour Windows, les offsets _EPROCESS proviennent du PDB officiel ntoskrnl, donc la liste de processus est précise au niveau symbole par build.

Conseils pour des cas réels

• Les grosses images sont gérées. Le balayage est linéaire ; un hôte de 64 Go prend plus de temps mais aboutit. Gardez l'onglet actif pour un meilleur débit.
• Les images brutes / physiques fonctionnent mieux. Un .vmem VMware est déjà brut et s'analyse directement. La sortie compressée d'AVML nécessite une décompression préalable.
• Ce sont des symboles, pas des octets, qui sont récupérés. Seuls le GUID et l'âge du PDB noyau (identifiant public partagé par toutes les machines de ce build Windows) sont envoyés. Aucun contenu de l'image ne quitte l'appareil. Voir est-il sûr d'analyser des images mémoire en ligne.

Quand le triage signale quelque chose

ramparser est le front-end. Quand le triage pointe vers une vraie piste (un processus caché par DKOM, une connexion sortante vers un C2 connu, un shell enfanté par winword.exe), passez à Volatility 3 pour l'analyse approfondie (malfind, yarascan, timeliner, callbacks noyau). Le flux d'analyse mémoire couvre la transition.

Pour aller plus loin

• Premiers pas avec ramparser
• Formats de fichier d'image mémoire expliqués
• pslist vs psscan vs psxview
• Est-il sûr d'analyser des images mémoire en ligne ?