Комментарий

Сначала было необходимо установить какая была операционная система.

Узнаем все возможные варианты

volatility.exe -f C:\infosec\20190227.mem imageinfo

Получим Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)

А теперь точно установим

volatility.exe -f C:\infosec\20190227.mem --profile=WinXPSP2x86 kdbgscan

Видим для обоих вариантов, что

PsActiveProcessHead      : 0x805627b8 (26 processes)

PsLoadedModuleList      : 0x8055c700 (123 modules)

а значит, мы можем пользоваться любым значением при поиске искомого документа в дампе.

 Дальше с помощью плагина The DumpFiles Plugin, который позволяет собрать все объекты в дампе и извлечь их в указанную папку, значительно упростим себе жизнь.

volatility.exe dumpfiles -f C:\infosec\20190227.mem --dump-dir C:\infosec\ -S C:\infosec\sum --profile=WinXPSP2x86 

Все файлы будут извлечены в папку infosec с названиями формата file.$PID.[SharedCacheMap.offset|ControlArea.offset].[img|dat|vacb], а сводка по ним будет записана в файл sum, в котором нам достаточно найти, какой из восстановленных файлов искомый *.doc.

Переименовываем file.1420.0x82237ba8.dat в .doc, и файл восстановлен.  

Достаточно оказалось этих ресурсов

https://github.com/volatilityfoundation/volatility/wiki/Command-Reference

https://volatility-labs.blogspot.com/2012/10/movp-44-cache-rules-everything-around.html