Volatility3

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

analyzing-memory-dumps-with-volatility 是一個 Volatility 3 技能，適用於記憶體鑑識、惡意程式初步篩查、隱藏程序、注入、網路活動，以及 Windows、Linux 或 macOS RAM dump 中的憑證分析。當你需要一份可重複使用的 analyzing-memory-dumps-with-volatility 指南，來支援事件應變與惡意程式分析時，就適合使用它。

analyzing-linux-kernel-rootkits 可協助 DFIR 與威脅狩獵工作流程，透過 Volatility3 的 cross-view 檢查、rkhunter 掃描，以及 /proc 與 /sys 比對，偵測 Linux kernel rootkit，找出隱藏模組、被掛鉤的系統呼叫與遭竄改的核心結構。這是一份實用的 analyzing-linux-kernel-rootkits 指南，適合用於鑑識初步分流。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。

conducting-memory-forensics-with-volatility 可協助你使用 Volatility 3 分析 RAM 映像檔，找出注入程式碼、可疑程序、網路連線、憑證竊取，以及隱藏的核心層活動。這是一個實用的 conducting-memory-forensics-with-volatility 技能，適合數位鑑識與事件回應的初步分流。

analyzing-heap-spray-exploitation 可搭配 Volatility3 分析記憶體傾印中的 heap spray 利用手法。它能辨識 NOP sled 模式、可疑的大型配置、shellcode 落點區，以及 process VAD 證據，適用於 Security Audit、惡意程式初步分流與漏洞利用驗證。