---

name: memory-forensics description: "内存转储的获取、分析和工件提取的综合技术，用于事件响应和恶意软件分析。" risk: unknown source: community date_added: "2026-02-27"

内存取证

内存转储的获取、分析和工件提取的综合技术，用于事件响应和恶意软件分析。

何时使用此技能

• 处理内存取证任务或工作流时
• 需要内存取证的指导、最佳实践或检查清单时

不要使用此技能当

• 任务与内存取证无关时
• 需要此范围之外的不同领域或工具时

说明

• 明确目标、约束和所需输入。
• 应用相关最佳实践并验证结果。
• 提供可操作的步骤和验证方法。
• 如需详细示例，请打开 resources/implementation-playbook.md。

内存获取

实时获取工具

Windows

# WinPmem（推荐）
winpmem_mini_x64.exe memory.raw

# DumpIt
DumpIt.exe

# Belkasoft RAM Capturer
# 基于 GUI，输出 raw 格式

# Magnet RAM Capture
# 基于 GUI，输出 raw 格式

Linux

# LiME (Linux Memory Extractor)
sudo insmod lime.ko "path=/tmp/memory.lime format=lime"

# /dev/mem（受限，需要权限）
sudo dd if=/dev/mem of=memory.raw bs=1M

# /proc/kcore（ELF 格式）
sudo cp /proc/kcore memory.elf

macOS

# osxpmem
sudo ./osxpmem -o memory.raw

# MacQuisition（商业工具）

虚拟机内存

# VMware：.vmem 文件即为原始内存
cp vm.vmem memory.raw

# VirtualBox：使用调试控制台
vboxmanage debugvm "VMName" dumpvmcore --filename memory.elf

# QEMU
virsh dump <domain> memory.raw --memory-only

# Hyper-V
# 检查点包含内存状态

Volatility 3 框架

安装和设置

# 安装 Volatility 3
pip install volatility3

# 安装符号表（Windows）
# 从 https://downloads.volatilityfoundation.org/volatility3/symbols/ 下载

# 基本用法
vol -f memory.raw <plugin>

# 指定符号路径
vol -f memory.raw -s /path/to/symbols windows.pslist

核心插件

进程分析

# 列出进程
vol -f memory.raw windows.pslist

# 进程树（父子关系）
vol -f memory.raw windows.pstree

# 隐藏进程检测
vol -f memory.raw windows.psscan

# 进程内存转储
vol -f memory.raw windows.memmap --pid <PID> --dump

# 进程环境变量
vol -f memory.raw windows.envars --pid <PID>

# 命令行参数
vol -f memory.raw windows.cmdline

网络分析

# 网络连接
vol -f memory.raw windows.netscan

# 网络连接状态
vol -f memory.raw windows.netstat

DLL 和模块分析

# 每个进程加载的 DLL
vol -f memory.raw windows.dlllist --pid <PID>

# 查找隐藏/注入的 DLL
vol -f memory.raw windows.ldrmodules

# 内核模块
vol -f memory.raw windows.modules

# 模块转储
vol -f memory.raw windows.moddump --pid <PID>

内存注入检测

# 检测代码注入
vol -f memory.raw windows.malfind

# VAD（虚拟地址描述符）分析
vol -f memory.raw windows.vadinfo --pid <PID>

# 转储可疑内存区域
vol -f memory.raw windows.vadyarascan --yara-rules rules.yar

注册表分析

# 列出注册表配置单元
vol -f memory.raw windows.registry.hivelist

# 打印注册表键
vol -f memory.raw windows.registry.printkey --key "Software\Microsoft\Windows\CurrentVersion\Run"

# 转储注册表配置单元
vol -f memory.raw windows.registry.hivescan --dump

文件系统工件

# 扫描文件对象
vol -f memory.raw windows.filescan

# 从内存转储文件
vol -f memory.raw windows.dumpfiles --pid <PID>

# MFT 分析
vol -f memory.raw windows.mftscan

Linux 分析

# 进程列表
vol -f memory.raw linux.pslist

# 进程树
vol -f memory.raw linux.pstree

# Bash 历史
vol -f memory.raw linux.bash

# 网络连接
vol -f memory.raw linux.sockstat

# 已加载的内核模块
vol -f memory.raw linux.lsmod

# 挂载点
vol -f memory.raw linux.mount

# 环境变量
vol -f memory.raw linux.envars

macOS 分析

# 进程列表
vol -f memory.raw mac.pslist

# 进程树
vol -f memory.raw mac.pstree

# 网络连接
vol -f memory.raw mac.netstat

# 内核扩展
vol -f memory.raw mac.lsmod

分析工作流

恶意软件分析工作流

# 1. 初始进程调查
vol -f memory.raw windows.pstree > processes.txt
vol -f memory.raw windows.pslist > pslist.txt

# 2. 网络连接
vol -f memory.raw windows.netscan > network.txt

# 3. 检测注入
vol -f memory.raw windows.malfind > malfind.txt

# 4. 分析可疑进程
vol -f memory.raw windows.dlllist --pid <PID>
vol -f memory.raw windows.handles --pid <PID>

# 5. 转储可疑可执行文件