L'outil Forensics Live Tool de Lexfo a sa propre implémentation d'analyse tout en mémoire sous Windows. L'avantage par rapport à d'autres outils qui peuvent exister est qu'il ne nécessite pas une connection à l'objet \\Device\\PhysicalMemory. Sur les nouveaux systèmes MS Windows (post 2003 SP1), l'accès est en effet restreint.

Ca donne par exemple les résultats suivants pour la reconstruction des processus:

% help eprocess

eprocess [ -ltsecgdo ] <arguments>

This command makes it possible to display _EPROCESS structures
via kernel memory.

__options
  -o [os] : choose os between { xpsp2, xp, w2k, 2003 }
  -l : list process
  -t : list terminated process
  -s [addr] : scan from start address
  -e [addr] : scan to end address
  -d [addr] : display _EPROCESS structure
  -c : check _EPROCESS structures
  -g : for /3GB systems


% eprocess -o xpsp2 -l -s 0x80000000 -e 0x90000000 -c

Addr                   Pid                        Binary

0x80551b80               0                          Idle
0x8143a520            1200                   wscntfy.exe
0x81445020             676                       alg.exe
0x8146d8b0            1868               VMwareService.e
0x8147a020            1684                VMwareUser.exe
0x8147c4a0            1676                VMwareTray.exe
0x814cebd8            1104                   svchost.exe
0x81557c10            1144                   svchost.exe
0x815597e8            1624                  explorer.exe
0x81562558            1692                    ctfmon.exe
0x81576da0             972                   svchost.exe
0x81579da0             632                     csrss.exe
0x815ab020             656                  winlogon.exe
0x815b0c10             308                     imapi.exe
0x815e0d50            1780                   memiris.exe
0x815e1d50            1980                   wuauclt.exe
0x815e72c8            1660                   wuauclt.exe
0x816081a8            1564                       cmd.exe
0x8161d5d0            1856                  wmiprvse.exe
0x816381f8             300                  wmiprvse.exe
0x81662020             568                      smss.exe
0x8166e260             700                  services.exe
0x8167c020             872                   svchost.exe
0x81695da0             712                     lsass.exe
0x816a4d08            1480                   spoolsv.exe
0x816e72f0            1056                   svchost.exe
0x817cc830               4                        System

% eprocess -o xpsp2 -d 0x81562558

[#] Structure _EPROCESS at 0x81562558
Pid: 1692
Ppid: 1624
Binary: ctfmon.exe
PageDirectoryBase: 0x065b8220
PEB: 0x7ffd7000
ThreaListHead.Blink : 0x8155f808
ThreadListHead.Flink : 0x8155f808
ActiveProcessLinks.Blink: 0x8147a0a8
ActiveProcessLinks.Flink: 0x8146d938
CreateTime: Thu Mar 29 00:42:14 2007
ExitTime: (null)

Les processus cachés par des techniques telles que DKOM par exemple sont bien évidemment détectés.