Tous les articles

Formats de fichier d'image mémoire expliqués (.mem, .raw, .vmem, LiME)

3 min de lecture

La forensique mémoire commence par l'acquisition, et le format du fichier résultant détermine ce qu'un outil peut en faire. Version courte : tout ce où l'adresse physique égale le décalage fichier est facile. Tout ce qui est structuré (conteneur de crash dump, fichier d'hibernation, flux compressé) nécessite une passe de conversion avant qu'un analyseur ne puisse le lire directement.

Images brutes / physiques : les mieux supportées

Une image mémoire physique brute est une copie plate, octet par octet, de la RAM : l'adresse physique N est au décalage fichier N. Chaque analyseur mémoire moderne est construit autour de cette disposition.

  • .mem / .raw / .bin : images brutes génériques depuis DumpIt, FTK Imager, Magnet RAM Capture (mode par défaut), winpmem (--format=raw).
  • .vmem : mémoire physique d'un invité VMware. Effectivement brute. Mettez la VM en pause et prenez le .vmem du répertoire de la VM.
  • LiME (.lime) : format Linux Memory Extractor. Charge utile brute avec petits en-têtes de sections ; la plupart des analyseurs le lisent directement.

Pour la pure compatibilité analyseur, préférez le brut. C'est le format au plus petit dénominateur commun et il survit le plus longtemps en stockage d'archives sans nécessiter de fixer les versions d'outil.

Formats nécessitant une conversion

  • Crash dumps Windows (.dmp). Encodages basés sur les runs ou compressés, pas physique plat. Le Memory.dmp d'un BSOD est ici. Convertissez avec imagecopy de Volatility 2 ou raw2dmp de Comae pour aplatir.
  • Fichiers d'hibernation (hiberfil.sys). Compressés, avec un en-tête structuré qui mappe les pages décompressées aux adresses physiques. hibr2bin (Comae / Volatility) décompresse en brut.
  • Sortie AVML. L'AVML de Microsoft acquiert compressé par défaut. avml-convert décompresse en brut ou LiME.
  • Snapshots VMware avec descripteurs séparés. Un .vmsn / .vmss référence le .vmem. Pointez votre outil vers le .vmem ; le descripteur n'est que métadonnées.
  • Hyper-V .bin + .vsv. Même séparation : .bin est la RAM invité. Certaines configurations Hyper-V compressent ; vol3 gère les dispositions modernes directement.
  • AFF4 (.aff4). Format conteneur utilisé par winpmem. Peu d'analyseurs le lisent nativement. Utilisez aff4imager ou l'export propre de winpmem pour convertir en brut.

Comment ramparser détecte l'OS

Quelle que soit l'extension, ramparser identifie depuis le contenu :

  • Windows : l'enregistrement CodeView/RSDS du noyau (aussi la clé de symbole utilisée pour récupérer le PDB ntoskrnl correspondant).
  • Linux : la bannière Linux version émise par le noyau au démarrage.

Si la détection dit unknown, l'image est probablement un conteneur compressé, un dump chiffré ou un format de crash dump. Convertissez en brut et réessayez.

Le pagefile n'est pas une image mémoire

Faux départ courant : tenter de charger pagefile.sys dans un analyseur mémoire. Le pagefile est du swap sur disque, pas une disposition physique plate. Il est utile (voir le parseur pagefile pour ce qu'on peut en extraire) mais un analyseur mémoire le rejettera. Idem pour swapfile.sys.

Règle générale

Si vous pouvez le dd et que le décalage physique égale le décalage fichier, ramparser peut l'analyser. Tout ce qui est structuré (crash dump, hibernation, compressé) doit être converti en brut d'abord.

Pour aller plus loin