<aside> 🚧

En construction

</aside>

Documentation officielle : https://github.com/volatilityfoundation/volatility/wiki/Command-Reference

🛠️ Volatility Basics

⚙️ Commandes de base

• Lister les profils disponibles :

  volatility -f <dump_memoire> imageinfo
  

  • Exemples de profils : Win10x64, Win7SP1x86, etc.

• Définir un profil (à partir de l’output de imageinfo) :

  volatility -f <dump_memoire> --profile=<profil> <plugin>
  

🧩 Syntaxe générale

volatility -f <dump_memoire> --profile=<profil> <plugin> [options]

📋 Informations Système

• Image Information : Obtenir des informations de base sur l'image mémoire.

  volatility -f <dump_memoire> imageinfo
  

• KDBG Scan : Identifier l'offset du kernel debugger.

  volatility -f <dump_memoire> kdbgscan
  

👥 Processus et Threads

• Lister les processus :

  volatility -f <dump_memoire> --profile=<profil> pslist
  

• Arborescence des processus :

  volatility -f <dump_memoire> --profile=<profil> pstree
  

• Recherche de processus cachés :

  volatility -f <dump_memoire> --profile=<profil> psscan