Bonjour,

Je me permets de venir vers vous aujourd'hui car j'aimerais faire une analyse RAM d'une machine Windows via la volatilité depuis Linux. Sachant que le système issu du dump était infecté je recherche l'anomalie via la mémoire RAM par Volatility.

J'ai donc tenté plusieures actions comme sur tuto openclassroom.

D'abord l'analyse de l'image via 'imageinfo' pour récupérer le profil d'analyse, ici Win7SP1x64.

Ensuite, exécutez pslist et pstree pour vérifier les processus en cours d'exécution

pstree

Mais je n'y vois rien de très suspicieux selon moi. Si ce n'est le processus skype.exe avec le pid 3064.

Je regarde également les connexions réseau avec la commande netscan.

Je vois ici que le fichier skype.exe a le statut "fermé" et qu'il ne pointe que vers des adresses IP locales.

Avec la commande cmdline et cmdscan, je vois que le fichier skype.exe a été installé par l'utilisateur, lance conhost.exe, mais est-ce normal ou pas ?

dlllist pour skype.exe

La commande malfind me donne juste les processus "explorer.exe" et "svchost" pour les pages en RWX

Je suis débutant dans le domaine et j'aimerais comprendre, et savoir de quoi me méfier sachant qu'ici je sais que le pc a été infecté. 

Je vous remercie par avance de votre attention et de vos retours plus que précieux.