Malfind — Détection d'injection de code (Volatility)

Volatility Malware

Rôle

Le plugin malfind de Volatility repère les régions mémoire suspectes : pages exécutables+inscriptibles (RWX) sans fichier mappé, signe classique d'injection de code ou de malware fileless.

Utilisation

# Volatility 3
vol3 -f mem.raw windows.malfind

# Volatility 2
vol.py -f mem.raw --profile=Win10x64 malfind -p 1234

# Dumper les sections trouvées pour analyse
vol3 -f mem.raw windows.malfind --dump

Lecture des résultats

Chercher l'en-tête MZ en début de région RWX (PE injecté), des protections PAGE_EXECUTE_READWRITE, et corréler avec pslist/pstree pour identifier le processus hôte de l'injection (process hollowing, reflective DLL).