gitgudKrish/Memory-Forensic-Analysis-of-Fileless-Malware-Anti-Forensic-Techniques

一次实用的数字取证调查，在受控的 Windows 10 实验环境中模拟无文件恶意软件攻击。 该攻击涉及投递一个伪装成 Windows 更新的恶意可执行文件，建立 Meterpreter 反向 HTTPS 会话，并通过进程镂空技术迁移到 spoolsv.exe 中，从而获取 NT AUTHORITY\SYSTEM 权限。 取证分析涵盖： - 使用 DumpIt 获取易失性内存 - 使用 Volatility 3 进行内存分析（pslist、pstree、malfind、netscan、handles） - 使用 Wireshark 进行网络流量分析（基于 TCP/443 的 C2 通信） - 使用 Autopsy 进行磁盘痕迹恢复 - 检测反取证技术（timestomping、日志清除、注册表 hive 转储）

标签：Autopsy, C2通信, DAST, DNS 解析, DumpIt, IP 地址批量处理, JARM, Meterpreter, SecList, TCP/443, Volatility 3, Windows 10, Wireshark, 云资产清单, 内存分析, 内存取证, 协议分析, 反取证, 句柄查看, 子域名变形, 安全实验, 安全评估, 库, 应急响应, 恶意软件分析, 数字取证, 数据包嗅探, 无文件恶意软件, 权限提升, 注册表转储, 清除日志, 磁盘取证, 网络安全, 自动化脚本, 进程镂空, 逆向工程, 防篡改时间戳, 隐私保护