L'adoption de la memory forensics - l'art d'extraire artefacts de la mémoire volatile d'un système compromis - est propagation dans les enquêtes de cybersécurité. De cette façon, les analystes en memory forensics peuvent gagner la grande image sur un comportement malveillant. Néanmoins, memory forensics a moins de deux décennies: de nombreux défis sont non résolus. Cette thèse donne une nouvelle perspective sur trois de ces problèmes. La première contribution étudie les effets non atomiques méthodes d'acquisition. La cause première de ce problème est que pendant la mémoire est acquise, l'utilisateur et les processus du noyau sont en cours d’exécution et modifient donc le contenu de la mémoire. Pour cette raison, la mémoire résultante le vidage ne représente pas l'état de la mémoire en un point donné dans le temps, mais plutôt un mélange de plusieurs points. La deuxième contribution se concentre sur l'extraction automatique d'un profil de forensics à partir d'un vidage de la mémoire. Avoir un profil valide est une exigence forte pour l'analyse de la mémoire, car sans aucun technique de forensics de la mémoire structurée peut être appliquée. Donc, ce problème empêche efficacement l'application de l'investigation judiciaire sur la mémoire dans les scénarios où la création d'un profil est plus difficile. La troisième et dernière contribution de cette thèse vise à changer la manière dont les règles de forensics, mieux connues sous le nom de plugins, sont créées. De nos jours, ces règles sont écrites manuellement par le noyau experts et praticiens de memory forensics. Malheureusement, cette approche n’a aucune garantie sur la qualité ni sur le l'unicité de ces règles.