Memory Forensics

detecting-rootkit-activity 是一项 Malware Analysis 技能，用于发现 rootkit 迹象，例如隐藏进程、被 hook 的系统调用、被篡改的内核结构、隐藏模块以及隐蔽的网络痕迹。它通过交叉视图比对和完整性检查，帮助在标准工具结果不一致时验证可疑主机。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

extracting-credentials-from-memory-dump 这个技能帮助你使用 Volatility 3 和 pypykatz 工作流分析 Windows 内存转储，提取 NTLM 哈希、LSA secrets、Kerberos 材料和 token。它适用于数字取证和事件响应场景，在你需要从有效转储中获得可作为证据的结果、评估账户影响并给出修复建议时尤其有用。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

analyzing-memory-dumps-with-volatility 是一个用于 Volatility 3 的内存取证技能，适合在 Windows、Linux 或 macOS 的 RAM dump 中进行恶意软件初筛、隐藏进程、注入、网络活动和凭证分析。当你需要一份可重复执行的 analyzing-memory-dumps-with-volatility 指南，用于事件响应和恶意软件分析时，它会很有用。

analyzing-linux-kernel-rootkits 可帮助 DFIR 和威胁狩猎流程通过 Volatility3 的 cross-view 检查、rkhunter 扫描，以及 /proc 与 /sys 对比分析，发现隐藏模块、被劫持的系统调用和被篡改的内核结构。它是一个面向取证初筛的实用 analyzing-linux-kernel-rootkits 指南。

detecting-fileless-malware-techniques 技能支持恶意软件分析工作流，用于调查通过 PowerShell、WMI、.NET reflection、注册表驻留 payload 以及 LOLBins 在内存中运行的 fileless malware。你可以借助它从可疑告警快速推进到有证据支撑的初步分诊、检测思路和后续狩猎方向。

conducting-memory-forensics-with-volatility 可帮助你使用 Volatility 3 分析 RAM 转储，查找注入代码、可疑进程、网络连接、凭据窃取以及隐藏的内核活动。它是一个面向数字取证与事件响应分诊的实用 conducting-memory-forensics-with-volatility 技能。

analyzing-heap-spray-exploitation 帮助你结合 Volatility3 分析内存转储中的堆喷射利用痕迹。它可识别 NOP sled 模式、可疑的大块分配、shellcode 落点区域以及进程 VAD 证据，适用于安全审计、恶意软件分流和漏洞利用验证。