Forensique RAM : outils, techniques et un flux 2026
6 min de lecture
La forensique RAM est la discipline qui consiste à extraire des preuves de la mémoire volatile d'un ordinateur. Contrairement à la forensique disque, où les données reposent sur un plateau, la RAM disparaît au moment où l'alimentation chute. Les artefacts qui y vivent sont aussi ceux que les adversaires ont du mal à cacher : processus en cours, code injecté, secrets déchiffrés, malware en mémoire, sockets réseau ouverts, et les vraies lignes de commande exécutées.
Ce guide est la vue terrain : ce qu'est la forensique RAM, les outils qui comptent en 2026, et un flux qui vous mène de "j'ai une image mémoire" à "j'ai un verdict" sans monter un environnement Python.
Pourquoi la forensique RAM compte toujours
- Malware uniquement en mémoire. Les charges utiles living-off-the-land (stagers PowerShell, DLL réflectives, beacons Cobalt Strike) ne touchent souvent jamais le disque. La RAM est le seul endroit où les trouver.
- Identifiants et secrets. Mots de passe en clair, tickets Kerberos, clés de session TLS, jetons porteurs. Le chiffrement disque ne les protège pas : ils vivent déchiffrés dans la mémoire processus.
- État que le disque ne voit jamais. Processus déliés par rootkit, connexions réseau cachées, callbacks noyau. La forensique mémoire est souvent le seul chemin vers eux.
- Résistance anti-forensique. Un adversaire déterminé peut nettoyer le MFT, Prefetch, EVTX et le journal USN. Nettoyer la mémoire vivante sans planter le système est plus dur.
La trousse 2026
| Outil | Étape | Notes |
|---|---|---|
| Magnet RAM Capture | Acquisition (Windows) | Gratuit, pilote signé, sortie .raw. Voir la marche d'acquisition. |
| DumpIt / FTK Imager | Acquisition (Windows) | DumpIt pour du .raw rapide ; FTK Imager pour AD1 + mémoire. |
| WinPmem | Acquisition (Windows) | Open source, .raw ou .aff4. |
| LiME | Acquisition (Linux) | Module noyau produisant .lime. |
| AVML | Acquisition (Linux / cloud) | Microsoft. Conçu pour environnements cloud ou hostiles. |
| Volatility 3 | Analyse | Le framework de référence. Python, riche en plugins, exhaustif. |
| Volatility 2 | Analyse (legacy) | Toujours utile pour certains dumps anciens et plugins pré-3.0. |
| Rekall | Analyse | Fork legacy. Utile pour un petit ensemble de dumps Mac. |
| ramparser | Analyse (triage) | En navigateur, WebAssembly, sans installation, sans envoi. |
| YARA | Scan IOC | Exécute des règles sur l'image ; se marie naturellement avec Volatility. |
| bulk_extractor | Carving | Chaînes, adresses e-mail, URL, matériel cryptographique depuis les octets bruts. |
Pour le premier triage (confirmer une liste de processus, repérer un processus caché, lire une ligne de commande suspecte), vous voulez quelque chose de rapide et sans friction. Pour le travail chronologique approfondi, des noyaux exotiques, ou des plugins d'expert, vous voulez Volatility 3. Les deux se complètent ; voir la comparaison côte à côte pour savoir quand prendre lequel.
Un flux de forensique RAM pratique
Le pipeline complet, condensé :
1. Acquérir
- Windows. Magnet RAM Capture ou DumpIt ; écrire sur un média externe ; hasher la sortie (SHA-256).
- Linux. LiME pour la capture sur hôte, AVML pour les hôtes cloud / hostiles.
- Machines virtuelles. Mettre la VM en pause, prendre le
.vmem. Déjà une image physique brute. Voir formats de fichier d'image mémoire pour les formats qui s'analysent nativement et ceux qui nécessitent une conversion.
Consignez l'heure, l'hôte source, l'outil + version d'acquisition, le hash de l'image, l'examinateur. La même discipline de hashage qu'aux images disque s'applique ici.
2. Triage
Une première lecture rapide avant l'analyse approfondie :
- Une liste de processus, à la fois vivante (
pslist) et scannée pool (psscan). - Le diff
psxviewpour signaler le masquage de style DKOM. - Lignes de commande (
cmdline) et modules chargés (dlllist) de tout ce qui est suspect. - Objets réseau (
netscan) pour faire ressortir les connexions sortantes inattendues.
ramparser exécute cette passe entière automatiquement sur une image déposée. L'image ne quitte jamais l'appareil, ce qui compte pour les environnements réglementés. Le flux d'analyse mémoire couvre que faire de la sortie de triage.
3. Analyse approfondie
Quand le triage signale quelque chose, passez à Volatility 3 :
- Reconstruction de chronologie (
timeliner). - Analyse de fichiers mappés en mémoire (
vadinfo,vaddump). - Détection d'injection de processus (
malfind). - Inspection de callbacks noyau et SSDT.
- Scans de règles YARA sur l'espace d'adressage des processus.
4. Carver et corroborer
Lancez bulk_extractor sur l'image brute pour les chaînes, e-mails,
URL et matériel cryptographique. Recoupez avec les artefacts disque
et réseau : MFT,
journal USN,
Prefetch,
AmCache,
Shimcache,
EVTX. Les conclusions les plus fortes
sont confirmées en trois endroits.
5. Rapporter
Documentez l'acquisition, les hashs, les versions d'outils, et la chaîne de raisonnement. Un bon rapport mémoire explique pourquoi une conclusion est ce qu'elle est, pas seulement ce que le plugin a affiché.
Pièges courants
- Mauvais profil. L'ancien Volatility 2 nécessitait des profils exacts. Volatility 3 et ramparser tirent les symboles du noyau lui-même, mais il vous faut quand même les symboles noyau correspondant au build qui tournait.
- Crash dumps et fichiers d'hibernation. Pas de la mémoire
physique plate. Convertissez avec
raw2dmp/hibr2bind'abord, sinon vous obtiendrez des absurdités. - Acquérir après redémarrage. La fenêtre se ferme vite. Si vous suspectez des preuves mémoire, capturez avant tout le reste.
- Envoyer des images. Une image RAM peut contenir des identifiants en clair et des données personnelles. Traitez-la comme la preuve la plus sensible de l'affaire.
- Faire confiance à
pslistseul. Les processus cachés par DKOM n'apparaîtront pas. Recoupez toujours contrepsscan.
Où s'insère ramparser
ramparser est l'étape de triage. Il charge l'image côté client dans
un Web Worker, récupère le PDB Microsoft correspondant pour les
offsets _EPROCESS exacts, et exécute chaque plugin applicable
automatiquement. Pas d'environnement Python, pas de gestion de pack
de symboles, pas d'envoi.
Ce n'est pas un remplaçant de Volatility, c'est une première passe sans friction. Quand le triage signale quelque chose d'intéressant, passez à Volatility 3 pour l'analyse approfondie.