Комментарий
Тюлькин ДанилСначала было необходимо установить какая была операционная система.
Узнаем все возможные варианты
volatility.exe -f C:\infosec\20190227.mem imageinfo
Получим Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
А теперь точно установим
volatility.exe -f C:\infosec\20190227.mem --profile=WinXPSP2x86 kdbgscan
Видим для обоих вариантов, что
PsActiveProcessHead : 0x805627b8 (26 processes)
PsLoadedModuleList : 0x8055c700 (123 modules)
а значит, мы можем пользоваться любым значением при поиске искомого документа в дампе.
Дальше с помощью плагина The DumpFiles Plugin, который позволяет собрать все объекты в дампе и извлечь их в указанную папку, значительно упростим себе жизнь.
volatility.exe dumpfiles -f C:\infosec\20190227.mem --dump-dir C:\infosec\ -S C:\infosec\sum --profile=WinXPSP2x86
Все файлы будут извлечены в папку infosec с названиями формата file.$PID.[SharedCacheMap.offset|ControlArea.offset].[img|dat|vacb], а сводка по ним будет записана в файл sum, в котором нам достаточно найти, какой из восстановленных файлов искомый *.doc.
Переименовываем file.1420.0x82237ba8.dat в .doc, и файл восстановлен.
Достаточно оказалось этих ресурсов
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
https://volatility-labs.blogspot.com/2012/10/movp-44-cache-rules-everything-around.html