Open Skills Logo
Open Skills

memory-forensics

掌握内存取证技术,包括使用Volatility及相关工具进行内存获取、进程分析和痕迹提取。适用于分析内存转储、调查安全事件或基于内存捕获进行恶意软件分析。

作者

@sickn33

分类

其他工具

安装

热度:9

下载并解压到你的 skills 目录

复制命令,发送给 OpenClaw 自动安装:

下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-memory-forensics&locale=zh&source=copy

Memory Forensics - 内存取证技术

技能概述

Memory Forensics 提供全面的内存取证技术指导,涵盖内存获取、进程分析、工件提取和恶意软件检测,使用 Volatility 3 框架帮助安全分析人员进行事件响应和威胁狩猎。

适用场景

  • 应急响应与事件调查 - 当系统遭遇入侵或疑似恶意软件感染时,通过分析内存转储快速识别攻击活动、提取恶意样本、重建攻击时间线,为事件处置提供关键证据。

  • 恶意软件逆向分析 - 从运行时内存中提取恶意代码、解密配置信息、分析进程注入技术、识别 C2 通信特征,辅助深度理解恶意软件行为。

  • 威胁狩猎与检测工程 - 主动扫描内存中的持久化机制、查找隐蔽进程、检测 rootkit 迹象、建立内存检测规则,提升安全检测能力。

    • 核心功能

  • 跨平台内存获取 - 涵盖 Windows(WinPmem、DumpIt)、Linux(LiME)、macOS(osxpmem)及虚拟机(VMware、VirtualBox、QEMU)的内存采集方法和工具使用指南。

  • Volatility 3 深度分析 - 提供进程分析(pslist、pstree、psscan)、网络连接(netscan)、DLL/模块检测、内存注入检测(malfind)、注册表和文件系统工件提取等完整插件使用流程。

  • 检测模式与工作流 - 内置恶意软件分析工作流、应急响应标准流程、进程注入检测模式、rootkit 识别方法、YARA 规则编写与扫描、字符串分析等技术实战指南。

    • 常见问题

    Memory Forensics 和磁盘取证有什么区别?

    内存取证分析的是系统运行时状态(RAM),可以捕获磁盘上不存在的信息:加密前的数据、运行中的进程、网络连接、剪贴板内容、未保存的文件、解密的密码等。而磁盘取证主要分析持久化存储的数据。两者互补,通常在调查中结合使用。

    Volatility 3 支持哪些操作系统?

    Volatility 3 支持 Windows(XP 到 Windows 11)、Linux 和 macOS 的内存分析。不同系统需要对应符号表(symbol tables)来正确解析数据结构。Windows 分析最为成熟,插件最丰富;Linux 支持常见发行版;macOS 支持相对有限但可用。

    如何检测内存中的进程注入?

    使用 Volatility 的 malfind 插件可以检测可疑的内存注入特征:具有 PAGE_EXECUTE_READWRITE 权限的内存区域、非映像 VAD 区域中存在 MZ 文件头、典型的 shellcode 模式等。结合 vadinfo 分析内存保护属性、dlllist 检查异常 DLL 加载,可综合判断是否存在注入行为。