MisterT92-OSS/memparser
GitHub: MisterT92-OSS/memparser
基于 Python 的内存取证工具,通过分析 RAM 转储文件提取进程、凭证、网络连接等关键证据,辅助事件响应和数字调查。
Stars: 0 | Forks: 0
# 🧠 MemParser
## 🔍 什么是 MemParser?
MemParser 是一个基于 Python 的内存取证工具,用于分析 RAM 转储(内存镜像)。它可为事件响应和数字调查提取关键痕迹。
## ⚡ 功能特性
- **进程分析**:列出运行中的进程,检测隐藏/注入的进程
- **凭证提取**:从内存中提取密码、哈希、token
- **网络连接**:活动连接、监听端口
- **恶意软件检测**:查找可疑模式、shellcode、注入的 DLL
- **注册表分析**:从内存中提取 Windows 注册表配置单元
- **文件雕刻**:从内存中恢复文件(图像、文档等)
- **时间线创建**:内存活动时间线
## 支持的格式
- Windows 内存转储(原始格式、WinDbg、休眠文件)
- Linux /proc/kcore
- VMware .vmem
- VirtualBox 转储
- LiME(Linux 内存提取器)
## 🚀 快速开始
```
# 安装
pip install memparser
# 分析 memory dump
memparser analyze memory.dmp --profile Win10x64
# 提取凭据
memparser creds memory.dmp --profile Win10x64
# 列出进程
memparser processes memory.dmp --profile Win10x64
# 网络连接
memparser network memory.dmp --profile Win10x64
# 完整取证报告
memparser full memory.dmp --profile Win10x64 --output report.html
```
## 📦 安装
```
# 从 PyPI
pip install memparser
# 从源码
git clone https://github.com/toufik/memparser.git
cd memparser
pip install -e .
```
## 🛠️ 环境要求
- Python 3.9+
- Volatility3(可选,用于高级解析)
- Rekall(可选)
## 📄 许可证
MIT 许可证 - 详见 [LICENSE](LICENSE)
**⚠️ 免责声明**:本工具仅用于授权的取证调查。在分析内存转储之前,请始终确保您已获得适当的授权。
标签:AlienVault OTX, Cloudflare, HTTPS请求, HTTP请求, Linux取证, MITRE ATT&CK, Mr. Robot, Python, RAM分析, SecList, Windows取证, Windows 调试器, 内存取证, 内存镜像, 凭据提取, 子域名变形, 库, 应急响应, 批量URL抓取, 数字取证, 数据包嗅探, 文件恢复, 无后门, 注册表分析, 网络连接分析, 自动化脚本, 自定义DNS解析器, 虚拟机取证, 进程分析, 进程注入检测