memory-forensics

概述

什么是 memory-forensics？

memory-forensics 技能提供了一个结构化的工作流程，用于采集、分析和提取内存转储中的痕迹。它专为需要调查易失性内存中妥协证据、恶意软件活动或系统状态的安全专业人员、事件响应人员和恶意软件分析师设计。

谁适合使用此技能？

• 进行事件响应的安全分析师
• 从事逆向工程的恶意软件研究人员
• 分析内存捕获的取证调查人员
• 需要从运行中或虚拟机中提取痕迹的IT专业人员

它解决了哪些问题？

• 简化了 Windows、Linux、macOS 及虚拟机的内存采集流程
• 指导用户使用 Volatility 3 进行进程分析和痕迹提取
• 帮助识别恶意活动、持久化机制和内存中的痕迹

使用方法

安装步骤

1. 使用以下命令安装技能：

   npx skills add https://github.com/wshobson/agents --skill memory-forensics

2. 查阅 SKILL.md 主文档，了解支持的工作流程和工具概览。

3. 浏览 README.md、AGENTS.md 和 metadata.json 等辅助文件，获取更多背景和集成细节。

内存采集指南

Windows

• 使用 winpmem_mini_x64.exe、DumpIt.exe 或 Belkasoft RAM Capturer、Magnet RAM Capture 等图形界面工具采集原始内存。

Linux

• 推荐使用基于内核模块的 LiME (Linux Memory Extractor)。
• 备选方案包括具有权限的 /dev/mem 或用于 ELF 格式转储的 /proc/kcore。

macOS

• 使用 osxpmem 进行原始内存转储，或使用商业工具如 MacQuisition。

虚拟机

• VMware：复制 .vmem 文件。
• VirtualBox：使用 vboxmanage debugvm 命令转储内存。
• QEMU：使用 virsh dump <domain> memory.raw --memory-only。
• Hyper-V：内存状态包含在虚拟机检查点中。

分析内存转储

• 使用 pip install volatility3 安装 Volatility 3。
• 从 Volatility Foundation 下载并配置 Windows 分析所需的符号表。
• 使用 Volatility 3 插件列出进程、提取痕迹并识别可疑活动。

适应工作流程

• 根据组织的工具、操作系统和安全策略定制工作流程。
• 将 memory-forensics 步骤集成到事件响应或恶意软件分析流程中。

常见问题

memory-forensics 支持哪些操作系统？

该技能提供针对 Windows、Linux、macOS 及常见虚拟化平台的采集和分析指导。

使用 memory-forensics 需要哪些工具？

您需要适合操作系统的内存采集工具（如 WinPmem、LiME、osxpmem）和用于分析的 Volatility 3。具体工具推荐和使用示例请参阅 SKILL.md。

我可以用此技能进行实时事件响应吗？

可以。memory-forensics 工作流程适用于实时和离线分析，适合快速响应和事后调查。

哪里可以找到更多细节或脚本？

请查看仓库的 Files 标签页，获取支持脚本、参考资料和更多资源。建议从 SKILL.md 开始，了解主要工作流程概要。