Volatility2:./volatility2 --info 插件:volatilityfoundation / community
python vol.py -f mem.raw --profile=插件名
Volatility3
MemProcFS:需要安装Dokan,MemProcFS.exe -device 1.mem -forensics 1,可以将分析结果挂载到一个新的盘符,sys-proc目录下有进程信息,forensic-timeline目录下有时间线……
Volatility2:./volatility2 --info 插件:volatilityfoundation / community
python vol.py -f mem.raw --profile=插件名
Volatility3
MemProcFS:需要安装Dokan,MemProcFS.exe -device 1.mem -forensics 1,可以将分析结果挂载到一个新的盘符,sys-proc目录下有进程信息,forensic-timeline目录下有时间线……