Protection 🛡️ Analyse de la mémoire vive pour identifier les malwares

[Sylvain*]

Analyse mémoire vive pour identifier un malware actif

Introduction

L’analyse de la mémoire vive permet de détecter des malwares furtifs en cours d’exécution, souvent invisibles pour les antivirus traditionnels. Elle cible les processus anormaux, DLL injectées et connexions actives suspectes.

---

Prérequis

• Connaissances avancées de Windows

• Maîtrise des outils système Windows

• Droits administrateur requis

---

Procédure

• Étape #1 : Capturer l’état actuel de la mémoire

• Étape #2 : Analyser les processus en cours

• Étape #3 : Identifier les modules injectés

• Étape #4 : Détecter les connexions réseau actives

• Étape #5 : Corréler les indices avec une base de menace

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Moyen

• Étape #3 : Difficile

• Étape #4 : Moyen

• Étape #5 : Difficile

---

Les Avantages

• Étape #1 : Capture d’un état mémoire exploitable hors ligne

• Étape #2 : Détection des processus dissimulés

• Étape #3 : Identification des injections DLL

• Étape #4 : Analyse réseau pour repérer les C2

• Étape #5 : Confirmation par IOC ou base VT

---

Les Inconvénients

• Étape #1 : Fichier mémoire volumineux

• Étape #2 : Risque de faux positifs

• Étape #3 : Besoin d’expertise élevée

• Étape #4 : Informations parfois éphémères

• Étape #5 : Comparaison longue et non exhaustive

---

Étape #1 Capture de la mémoire vive

Utiliser DumpIt ou Belkasoft RAM Capture

Exécuter en mode administrateur

Sauvegarder le dump mémoire sur une partition externe

Conserver l’intégrité du fichier

---

Étape #2 Analyse des processus mémoire

Ouvrir le dump avec Volatility3

Lister les processus avec

pslist

Identifier les anomalies : noms inhabituels, parent PID

Comparer avec une base de processus légitimes

---

Étape #3 Détection d’injections DLL

Utiliser le plugin

dlllist

de Volatility

Inspecter les chemins suspects

Isoler les DLL non signées ou en mémoire uniquement

Analyser avec sigcheck ou VirusTotal

---

Étape #4 Analyse réseau du dump

Utiliser

netscan

dans Volatility

Identifier les connexions sortantes

Comparer les IP à des listes noires

Vérifier les ports non standard ou inhabituels

---

Étape #5 Recherche d’indicateurs de compromission

Exporter les hash de processus et DLL

Comparer avec VirusTotal ou HybridAnalysis

Croiser les résultats avec MISP ou AbuseIPDB

Évaluer la compromission à partir de multiples sources

---

Astuce

Utiliser Volatility dans WSL2 améliore la compatibilité mémoire

./vol.py -f dump.raw --profile=Win10x64 pslist

---

Mise en garde

Évitez de manipuler un dump mémoire sur la machine infectée

dump.raw

---

Conseil

Automatiser l’analyse avec Volatility plugins custom

vol.py -f dump.raw --plugins=/opt/plugins/ malprocfind

---

Solutions alternatives

• analyse mémoire malware Volatility

• belkasoft ram capture tutoriel

• volatility custom plugins

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• GitHub Recherche

---

Conclusion

L’analyse de la mémoire vive reste une méthode essentielle pour détecter des malwares en exécution qui échappent aux outils classiques. L’usage de

Volatility

et de dumps contrôlés permet une investigation efficace et forensique.