memory-forensics

記憶體鑑識技術提供了一套完整的工具包，供資安研究人員、事件響應人員與惡意程式分析師檢查受駭系統的記憶體狀態。本技能專注於 Volatility 3 框架，支援 Windows、Linux 與 macOS 環境下的 RAM 映像檔深度分析。它簡化了識別隱藏處理序、程式碼注入與持久化機制等傳統磁碟鑑識工具難以發現的複雜過程。

• 針對即時系統、虛擬機器 (VMware, VirtualBox, QEMU) 與雲端檢查點的記憶體獲取流程，支援 WinPmem, LiME, osxpmem 等工具。

• 完整的 Volatility 3 整合，支援各作業系統的處理序列表 (pslist, pstree)、網路活動分析 (netscan, sockstat) 與核心模組識別。

• 具備記憶體注入偵測能力，透過 VAD (Virtual Address Descriptor) 分析、malfind 與基於 YARA 的記憶體掃描，識別惡意程式碼特徵。

• 從 RAM 中提取登錄檔與檔案系統資產，包含 MFT 掃描、檔案物件重建與 Hive 分析，以復原使用者行為。

• 標準化事件響應與惡意程式分析流程，提供從初步處理序調查到記憶體傾印字串分析與持久化機制識別的操作步驟。

• 在開始分析前，請確保已針對目標作業系統版本安裝正確的符號表。

• 記憶體獲取需要高權限存取；請確保維持原始記憶體格式以獲得與分析工具的最大相容性。

• 最適合用於入侵後的調查、橫向移動偵測以及識別主要存在於記憶體中的 Rootkit。

• 建議結合字串提取與 YARA 規則與 Volatility 外掛程式共同使用，以對可疑發現進行多層次驗證。