ramparser est-il un remplaçant direct de Volatility ?

Non. ramparser est un outil de triage rapide et privé. Pour une analyse chronologique approfondie, des plugins exotiques ou des noyaux non Windows, Volatility 3 reste la référence.

Pourquoi utiliser ramparser plutôt qu'installer Volatility ?

Pas d'environnement Python, pas de packs de symboles, pas d'envoi. Il tourne comme une page web statique et analyse votre image RAM avec WebAssembly à l'intérieur d'un Web Worker.

Quelle précision pour les listes de processus Windows ?

ramparser récupère le PDB ntoskrnl correspondant et lit les offsets _EPROCESS exacts, la même approche que Volatility, donc les listes de processus sont précises au symbole par build Windows.

Une alternative à Volatility en navigateur

Le framework Volatility est la référence pour la forensique mémoire. C'est aussi une installation Python multi-composants avec des packs de symboles à gérer, des plugins à mettre à jour, et des dépendances qui se battent avec les mises à niveau de version Python. Pour le travail approfondi, cette friction est acceptable. Pour le triage ("cette image vaut-elle une analyse approfondie"), elle gêne. ramparser existe pour retirer la friction sans renoncer à une analyse précise au symbole.

Ce que ramparser remplace, et ce qu'il ne remplace pas

Remplace :

L'environnement Python, virtualenv et la gestion des dépendances.
L'étape de téléchargement/copie de pack de symboles. ramparser récupère le PDB ntoskrnl correspondant à la demande (GUID + âge uniquement, voir est-il sûr d'analyser des images mémoire en ligne).
L'ergonomie CLI de vol -f image.raw windows.pslist | less.

Ne remplace pas :

Les plugins approfondis que Volatility 3 a et que ramparser n'a pas encore : malfind, yarascan, callbacks, ssdt, vadinfo, timeliner.
Les noyaux non-Windows en profondeur. macOS n'est pas supporté. Linux est expérimental.
Le dump de processus / région noyau pour analyse statique en aval.

La séparation est intentionnelle. ramparser est le front-end de triage ; Volatility 3 est le back-end vers lequel vous vous tournez quand le triage pointe quelque chose.

Ce qu'il fait aujourd'hui

Détecte automatiquement l'OS depuis le contenu de l'image (CodeView noyau Windows / bannière Linux).
pslist : parcourt ActiveProcessLinks avec des offsets exacts issus du PDB.
psscan : scan pool-tag pour allocations _EPROCESS.
psxview : le diff entre les deux.
pstree : hiérarchie parent/enfant.
cmdline : ligne de commande via le PEB.
dlllist : modules chargés via les données du loader PEB.
modscan / modules : modules noyau depuis le pool et la liste vivante.
netscan : points d'extrémité réseau (expérimental).
taskscan : scan task_struct Linux (expérimental).

Voir premiers pas pour les internes du moteur et pslist vs psscan vs psxview pour la technique de vue croisée qui attrape les rootkits DKOM.

Quand vous voulez encore Volatility

ramparser est conçu pour un triage rapide, privé et en navigateur. Tournez-vous vers Volatility 3 quand :

Vous avez besoin de malfind pour faire ressortir des régions RWX non liées à un fichier.
Vous voulez un CSV timeliner fusionné dans une SuperTimeline.
Vous devez scanner la mémoire processus avec des règles YARA maintenues.
Vous travaillez sur un noyau Linux à disposition non par défaut.
Vous devez dumper un processus pour l'analyse statique en aval.

Pour tout ce qui précède, la page web statique est l'option à moindre friction.

Ce que ramparser remplace, et ce qu'il ne remplace pas

Ce qu'il fait aujourd'hui

Quand vous voulez encore Volatility

Pour aller plus loin