memory-forensics

内存取证技能为安全研究员、应急响应人员和恶意软件分析师提供了一套完整的工具包，用于检查受损系统的内存状态。本技能专注于 Volatility 3 框架，支持对 Windows、Linux 和 macOS 环境下的 RAM 镜像进行深度分析。它简化了识别隐藏进程、代码注入和持久化机制等传统基于磁盘的取证工具难以发现的复杂过程。

• 针对实时系统、虚拟机 (VMware, VirtualBox, QEMU) 和云检查点的内存获取流程，支持 WinPmem、LiME、osxpmem 等工具。

• 完整的 Volatility 3 集成，支持各操作系统进程列表 (pslist, pstree)、网络活动分析 (netscan, sockstat) 和内核模块识别。

• 具备内存注入检测能力，通过 VAD (Virtual Address Descriptor) 分析、malfind 和基于 YARA 的内存扫描，识别恶意代码特征。

• 从 RAM 中提取注册表和文件系统工件，包括 MFT 扫描、文件对象重建和 Hive 分析，以复原用户活动。

• 标准化应急响应与恶意软件分析工作流，提供从初步进程调查到内存转储字符串分析及持久化机制识别的操作步骤。

• 在开始分析前，请确保已为目标操作系统版本安装正确的符号表。

• 内存获取需要高权限访问；请确保保持原始内存格式以获得与分析工具的最佳兼容性。

• 最适用于入侵后的调查、横向移动检测以及识别主要驻留在内存中的 Rootkit。

• 建议结合字符串提取与 YARA 规则及 Volatility 插件共同使用，以对可疑发现进行多层验证。