variablevar/volatility-3-dashboard

# Volatility 3 取证仪表板 一个基于浏览器的**内存取证分类仪表板**，使用 [Next.js](https://nextjs.org) 构建，并由 [v0](https://v0.app) 引导生成。 ## 功能介绍 该工具接收内存镜像文件并将导出的 CSV 作为输入，自动运行跨文件分类分析，以揭示所有主要内存构件中的可疑指标。它用单一的交互式仪表板取代了手动逐个插件的工作流。 ### 检测模块 | 模块 | 检测内容 | |---|---| | **Malfind** | RWX 内存区域、MZ 头、shellcode 注入 | | **隐藏进程** | 存在于 `psscan` 但不在 `pslist` 中的 PID（DKOM rootkit） | | **父子异常** | 具有异常父进程的进程 | | **SSDT Hooks** | 由非标准模块进行的内核级挂钩 | | **网络连接** | 来自异常进程的可疑 ESTABLISHED 连接 | | **命令行分析** | 编码的 PowerShell、LOLBins、无文件执行、规避标志 | | **DLL 注入** | 从 temp/appdata 路径加载或无路径（反射式）的 DLL | | **句柄分析** | 对 `lsass.exe` 的完全访问句柄（凭据转储信号） | | **VAD 区域** | 无备份文件的私有匿名可执行内存 | | **线程检查** | 从可疑路径启动的线程 | | **驱动扫描** | 缺少服务键的驱动程序 | | **文件扫描** | 位于 temp/public/recycle 路径中的可执行文件 | ## 支持的输出文件 将导出 CSV 的镜像文件（.mem/.raw）放在 data 文件夹中。系统会根据名称模式自动发现文件： ``` windows_pslist*.csv windows_psscan*.csv windows_pstree*.csv windows_cmdline*.csv windows_malfind*.csv windows_ssdt*.csv windows_netscan*.csv windows_dlllist*.csv windows_handles*.csv windows_threads*.csv windows_filescan*.csv windows_driverscan*.csv windows_registry_hivelist*.csv windows_vadinfo*.csv windows_info*.csv ``` 底层执行的命令如下： ``` vol -f memory.dmp -r csv windows.pslist > windows_pslist.csv vol -f memory.dmp -r csv windows.psscan > windows_psscan.csv vol -f memory.dmp -r csv windows.pstree > windows_pstree.csv vol -f memory.dmp -r csv windows.malfind > windows_malfind.csv vol -f memory.dmp -r csv windows.netscan > windows_netscan.csv vol -f memory.dmp -r csv windows.cmdline > windows_cmdline.csv vol -f memory.dmp -r csv windows.dlllist > windows_dlllist.csv vol -f memory.dmp -r csv windows.handles > windows_handles.csv vol -f memory.dmp -r csv windows.threads > windows_threads.csv vol -f memory.dmp -r csv windows.filescan > windows_filescan.csv vol -f memory.dmp -r csv windows.driverscan > windows_driverscan.csv vol -f memory.dmp -r csv windows.ssdt > windows_ssdt.csv vol -f memory.dmp -r csv windows.vadinfo > windows_vadinfo.csv vol -f memory.dmp windows.-r csv registry.hivelist > windows_registry_hivelist.csv vol -f memory.dmp -r csv windows.info > windows_info.csv ``` ## 仪表板标签页 | 标签页 | 内容 | |---|---| | **概述** | 严重性摘要、发现图表、带过滤/排序功能的所有发现表 | | **进程** | 隐藏进程差异、可视化进程树、异常父子关系表 | | **网络** | 外部连接图、可疑进程连接、完整 netscan | | **内存** | Malfind RWX 区域、VAD 匿名可执行区域 | | **命令行** | 带有模式匹配和规则标签的命令行分析 | | **DLL 与线程** | 可疑 DLL 路径、注入线程检测 | | **句柄** | lsass 访问检测、句柄类型细分 | | **驱动与注册表** | 未签名/无密钥驱动程序、仅存在于内存中的注册表配置单元 | | **文件** | 带有可疑文件过滤器的文件系统扫描 | ## 入门指南 安装依赖： ``` npm install # 或 yarn install # 或 pnpm install ``` 运行开发服务器： ``` npm run dev # 或 yarn dev # 或 pnpm dev ``` 打开 [http://localhost:3000](http://localhost:3000)，上传镜像文件，等待处理完成后导航到 `/forensics`。 ## 独立 Python 服务器与分类脚本 此外，您必须访问运行该工具所需的 [**服务器**](https://github.com/variablevar/bug-free-happiness)。其中还包含了一个用于基于终端分析的独立 CLI 版本（`server.py` 和 `memory_triage.py`）： 请访问此处以安装命令行版 [vol](https://rahulcyberx.medium.com/install-use-volatility-3-for-memory-forensics-4fa813b0fab1) ``` git clone https://github.com/variablevar/bug-free-happiness.git cd bug-free-happiness # 可选 python -m venv .venv source .venv/bin/activate pip install -r requirements.txt python server.py ``` `memory_triage.py` 的输出： - `triage_report.csv` — 按严重性排序的所有发现 - `findings_by_severity.png` - `findings_by_category.png` - `top_pids.png` ## 技术栈 - [Next.js 14](https://nextjs.org) — App Router - [Tailwind CSS](https://tailwindcss.com) — 样式设计 - [Recharts](https://recharts.org) — 图表 - [PapaParse](https://www.papaparse.com) — CSV 解析 - [v0](https://v0.app) — UI 生成 ## 在 v0 上继续开发 此仓库已关联到一个 [v0](https://v0.app) 项目。开启新的聊天即可进行更改——v0 会直接将提交推送到此仓库。每次合并到 `main` 分支都会自动部署。 [继续在 v0 上工作 →](https://v0.app/chat/projects/prj_KySg3c8FTysG0Qe8EZkQzvW1CW92) ## 了解更多 - [Next.js 文档](https://nextjs.org/docs) - [Volatility 3 文档](https://volatility3.readthedocs.io) - [v0 文档](https://v0.app/docs)

标签：DAST, EDR, OpenCanary, PowerShell滥用, SecList, Windows 调试器, 代码注入检测, 仪表盘, 内存取证, 内存镜像分析, 凭据窃取, 安全可视化, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 数字取证, 网络安全, 脆弱性评估, 自动化分析, 自动化攻击, 自动化脚本, 跨站脚本, 逆向工具, 防守视角, 隐私保护, 隐藏进程