memory-forensics

memory-forensics 技能概览

memory-forensics 技能能做什么

memory-forensics 技能可以帮助代理围绕 RAM 采集和内存转储分析开展工作，使用 Volatility 3 以及常见内存采集工具形成一套可执行流程。它主要面向事件响应、恶意软件初步研判和主机调查这类场景，尤其适用于仅靠磁盘侧痕迹还不足以判断问题的时候。

这项技能最适合谁

这项 memory-forensics 技能尤其适合：

• 处理 Windows、Linux 或 macOS 疑似入侵事件的响应人员
• 分析已获取的内存镜像或 VM 内存文件的分析师
• 需要一套实用起步框架来做进程、网络和各类内存痕迹分析的用户
• 将 memory-forensics 用于 Incident Triage，而不是做深度内核研究的团队

如果你还没有内存镜像、无法合法或安全地采集内存，或者当前只需要做基础日志审查，那么它的价值会相对有限。

用户真正要解决的问题

大多数用户并不需要一段关于内存分析历史的介绍，他们真正需要回答的是这类问题：

• 在当前系统上，最安全的 RAM 采集方式是什么？
• 如何用正确的工具和符号去分析这个 dump？
• 进程、注入代码、凭据、socket 和持久化线索里，应该优先看哪些？
• 怎么把“怀疑有问题”变成一套可重复执行的 memory-forensics 指南？

这项技能的价值在于：它把这些任务组织成了一套可直接使用的工作流，而不是让代理从一个空白提示词开始临场发挥。

这项技能的差异点在哪里

它最明显的特点，是覆盖了完整的 memory-forensics 路径：从采集方案、VM 内存获取、Volatility 环境准备，到进程、DLL、网络、注册表数据、恶意软件迹象和提取等调查类别都包含在内。相比泛泛的“分析这个 dump”类提示，它更偏实战，尤其适合你希望代理不仅报出工具名，还能给出下一步取证动作的时候。

安装前你需要知道的事

这个仓库路径下只有一个 SKILL.md 用来提供指导。技能目录里没有辅助脚本、预打包符号、自动化规则，也没有示例数据集。这意味着 memory-forensics 的安装本身很轻量，但输出质量会高度依赖你提供的信息是否足够具体，比如操作系统、采集方式、文件格式、怀疑的威胁类型，以及你想回答的具体问题。

如何使用 memory-forensics 技能

memory-forensics 技能的安装场景

从仓库安装这个技能后，当你的任务涉及内存采集、基于 Volatility 的分析，或从 RAM 中提取痕迹时再调用它。

npx skills add https://github.com/wshobson/agents --skill memory-forensics

由于技能目录只暴露了 SKILL.md，几乎不存在隐藏行为。你得到的是一套结构化指导，而不是开箱即用的一键式取证流水线。

先读这个文件

从这里开始：

• plugins/reverse-engineering/skills/memory-forensics/SKILL.md

因为该目录下没有配套脚本或参考文件，所以阅读 SKILL.md 基本就等于完成了这个技能的完整仓库阅读路径。

让技能发挥效果需要提供哪些输入

当你提供明确的取证上下文时，memory-forensics 技能的表现会明显更好。建议至少包含：

• 目标 OS 和版本（如果已知）
• 内存镜像路径与格式，例如 .raw、.lime、.elf 或 VM 内存
• 镜像来源是在线采集、hypervisor 快照，还是端点工具导出
• 分析目标：triage、恶意软件确认、凭据窃取、注入代码、可疑网络活动
• 已知指标：hostname、用户名、进程名、hash、IP、域名、时间戳
• 你当前可用的工具：vol、python、symbol packs、YARA rules、strings、grep

如果缺少这些信息，代理通常只能退回到一个通用的 memory-forensics 使用方案，而不是针对性的调查流程。

把模糊目标改写成高质量提示词

弱提示词：

• “Analyze this memory dump.”

更强的提示词：

• “Use the memory-forensics skill to triage a Windows 10 memory image at evidence/win10.raw. Prioritize suspicious processes, network connections, DLL injection, LSASS access, persistence clues, and files worth extracting. Assume I have Volatility 3 installed but not Windows symbols. Give me a step-by-step command sequence and explain what findings would be high priority for incident triage.”

之所以第二种写法效果更好，是因为它同时给出了平台、文件、目标，以及对输出形式的预期。

面向 Incident Triage 的 memory-forensics 示例提示词

当你更看重速度时，可以直接用类似下面的提示：

Use the memory-forensics skill for Incident Triage on a Linux memory image captured with LiME. I need a prioritized workflow: identify suspicious processes, loaded modules, open sockets, shell history or credentials in memory if feasible, and anything that suggests rootkit or malware activity. Recommend Volatility 3 commands, note any plugin limitations, and tell me what to extract for follow-up.

这样可以让输出保持实用、偏向分诊，而不是发散成大段理论说明。

这项技能支持的典型工作流

比较理想的使用方式通常是：

1. 先识别内存镜像的来源和格式。
2. 确认目标平台，并选择与采集方式匹配的处理方法。
3. 准备 Volatility 3 以及所需 symbols（如果适用）。
4. 先做基础枚举：进程、命令行、网络连接、模块、handles。
5. 再向可疑痕迹深入：注入代码、凭据材料、注册表数据、浏览器痕迹或恶意软件解包线索。
6. 提取高价值痕迹供离线复核。
7. 汇总发现，标注置信度，并给出下一步建议。

如果你把它当作一个“基于决策推进的工作流”来使用，而不只是让它列插件清单，这项技能通常会更有帮助。

这项技能真正擅长覆盖的内容

从源内容来看，这份 memory-forensics 指南在以下方面尤其强：

• Windows、Linux 和 macOS 的在线内存采集方案
• 虚拟机内存采集
• Volatility 3 的安装与环境准备
• 基于 dump 的进程与痕迹分析
• 恶意软件分析与提取任务

如果你当前卡住的点是“不知道下一条命令该敲什么”或“不知道下一个应该看哪类痕迹”，它会特别有用。

安装与环境方面的实用提示

这个技能以 Volatility 3 为核心，因此你最好提前考虑：

• Python 环境管理
• symbols 是否可用，尤其是 Windows 场景
• 大体积内存镜像所需的存储空间
• 在线系统采集时的权限与稳定性风险
• 原始 dump、ELF 风格采集文件与 hypervisor 输出之间的格式差异

实际使用中，很多“第一次跑不起来”的问题本质上不是分析问题，而是环境问题。如果你希望代理帮你定位，就要明确告诉它具体卡在哪里：安装报错、symbols 问题、格式不支持，还是 plugin 不匹配。

明显提升输出质量的几个技巧

如果你想让代理把 memory-forensics 用得更到位，建议这样提需求：

• 要求它给出逐条命令的工作流，而不只是概念说明
• 要求它区分“先做 triage”与“后续深挖”的检查项
• 提供已知可疑进程名或 IP，让它围绕这些线索做 pivot
• 让它写出预期输出，以及哪些异常值得重点关注
• 让它明确标注 Volatility 3 何时需要 symbols，或某个 plugin 何时不适合你的 OS

这样的提示能显著减少空泛建议，迫使技能进入真正可执行的操作模式。

这项技能不会帮你自动化什么

这不是一套打包好的取证工具集。memory-forensics 技能本身不附带：

• 采集二进制工具
• 整理好的 symbol bundles
• 校验脚本
• chain-of-custody 工具
• 一键式报告生成

如果你需要端到端自动化，应把这项技能看作分析指导和命令骨架，而不是用来替代你现有取证工具链的方案。

memory-forensics 技能常见问题

memory-forensics 技能适合新手吗？

适合，但前提是你已经理解基本命令行操作，也知道什么是内存镜像。这个技能能提供足够的结构化起点，但并不能替代你对目标平台、工具可用性和调查目标的基本判断。对于完全零基础的用户来说，Volatility 安装和 symbols 处理仍可能需要额外帮助。

什么情况下，memory-forensics 技能比普通提示词更合适？

当你希望代理始终沿着取证工作流来回答时，就该用 memory-forensics 技能：包括采集、triage、痕迹提取以及面向恶意软件的深入 pivot。普通提示词往往只会给出比较泛的建议，而这个技能更有可能给出贴近实际的工具、命令和调查顺序。

安装 memory-forensics 时会顺带安装 Volatility 之类的工具吗？

不会。memory-forensics 的安装只会添加技能指导，不会安装取证二进制工具。像 volatility3 这样的工具仍需要你自行安装并验证可用性。

可以用它指导在线内存采集吗？

可以。源内容明确包含 Windows、Linux、macOS 的在线采集思路，以及虚拟机内存采集方式。不过在生产环境或可能不稳定的主机上采集 RAM 之前，你仍然需要自己评估操作风险。

它适合用于恶意软件分析吗？

适合。如果恶意软件只会以内存中的注入代码、解包后的 payload、可疑模块或活跃进程痕迹形式出现，这项技能就很有价值。特别是在磁盘侧扫描信息不完整时，它会更有帮助。

什么情况下不该使用这项技能？

以下情况建议跳过这份 memory-forensics 指南：

• 你没有内存镜像，也无法采集
• 你的任务纯粹是磁盘取证或 SIEM 审查
• 你需要的是法庭级流程文档，而不是分析指导
• 你期待无需工具准备和人工输入的自动解析

它是不是只适合 Windows 分析？

不是。这个技能覆盖 Windows、Linux、macOS 以及 VM 内存采集路径。不过在实际操作中，通常还是你工具链和 symbols 越成熟的平台，分析深度越高，所以最好尽早告诉代理你的目标平台。

如何改进 memory-forensics 技能的使用效果

给代理提供更完整的取证上下文

想提升 memory-forensics 输出质量，最快的办法就是一开始就给出更强的证据上下文。建议包含：

• 精确的文件名和格式
• 采集来源
• OS 类型
• 怀疑的行为
• 已知 IOC
• 你已经尝试过的内容

这样代理才能更准确地选择合适的 plugins、执行顺序和 pivot 方向，而不是生成一份泛泛的检查清单。

让它给出“优先级排序”，而不是“穷举式分析”

一个很常见的问题是：输出列了大量可能检查项，却没有 triage 顺序。你可以明确要求 memory-forensics 技能按以下层级排序：

• immediate triage
• high-value follow-up
• optional deep analysis

这种格式在事件响应里会比完整罗列更实用。

强制它解释如何解读命令输出

不要只要命令，也要它说明“什么样的输出才算可疑”。例如：

• 异常的父子进程链
• 被隐藏或已终止但仍驻留的进程
• 异常的网络监听
• LSASS 被访问的证据
• 未签名或位置异常的模块

在“如何解释结果”这一层，这项技能比单纯的命令列表更能体现价值。

用边界条件约束提示词范围

高质量提示词通常会清楚定义限制条件，例如：

• “Windows only”
• “Volatility 3 only”
• “No internet access for symbol downloads”
• “Need findings in under 30 minutes”
• “Focus on credential theft and C2”

这些约束会让 memory-forensics 建议更贴近现实，也更容易落地执行。

第一轮输出后继续迭代

拿到第一轮响应后，把真实发现继续喂给代理，例如：

• 可疑 PID
• 模块名
• IP 地址
• 进程命令行
• 提取出的文件名
• plugin 报错

然后再让它给出下一步 pivot。对这项 memory-forensics 技能来说，一旦能从宽泛 triage 收缩到基于证据的后续调查，价值会明显提升。

留意常见失败模式

典型问题包括：

• 对 OS profile 或 symbols 的假设不正确
• 在已经有 dump 的情况下仍推荐采集步骤
• 过度强调穷举枚举，忽略 triage 优先级
• 只给 plugin，不解释为什么要看它们
• 忽略文件格式或 hypervisor 上下文

要减少这些问题，最有效的方式是明确告诉代理你当前处于哪个阶段：采集、环境准备、基础 triage、恶意软件狩猎，还是痕迹提取。

把这项技能当作工作流模板来用

在实际工作中，改进这份 memory-forensics 指南的最好方式之一，就是把它的结构复用到不同案件里。你可以让代理把这项技能整理成：

• 一份 triage checklist
• 一份案件专用 runbook
• 团队可复用的 prompt template
• 一份带占位符的命令计划，包含镜像路径、主机信息和 IOC 集合

这样它就不再只是一次性的回答，而会变成可重复使用的事件响应资产。