ilyess-sellami/Volatility3-Memory-Analysis-Playbook

GitHub: ilyess-sellami/Volatility3-Memory-Analysis-Playbook

基于Volatility 3的结构化内存取证操作手册，提供问题驱动的调查框架，帮助分析师系统化分析内存转储以还原攻击行为。

Stars: 3 | Forks: 0

# Volatility 3 内存分析操作手册本操作手册规范了使用 **[Volatility 3](https://github.com/volatilityfoundation/volatility3)** 进行内存转储（memory dumps）分析的流程，旨在： - 识别**恶意进程** - 检测**持久化机制** - 提取**网络指标（C2、套接字、连接）** - 从易失性内存中**重建攻击者行为** - 将**内存痕迹与事件时间线进行关联** 本操作手册不仅仅是一组命令集合。它是一个**以问题为导向的调查框架**，旨在帮助您在内存分析过程中像资深的 DFIR 分析师一样思考。 ## 00 - 证据完整性与哈希验证 #### 内存转储的 SHA256/MD5 哈希值是什么？ ``` sha256sum memory.raw md5sum memory.raw ``` #### 内存转储的大小是多少？ ``` ls -lh memory.raw ``` ## 01 - 内存镜像识别与系统上下文 #### 运行的是什么操作系统？ ``` vol -f memory.raw banners ``` #### Windows 系统信息（主机名、系统版本、时区、进程体系结构）是什么？ ``` vol -f memory.raw windows.info ``` #### Linux 内核版本是什么？ ``` vol -f memory.raw linux.banner ``` ## 02 - 进程枚举（核心调查） #### 曾有哪些进程在运行？ ``` vol -f memory.raw windows.pslist ``` #### 父子进程关系是什么？ ``` vol -f memory.raw windows.pstree ``` #### 是否存在隐藏或未链接的进程？ ``` vol -f memory.raw windows.psscan ``` #### 有哪些可疑进程正在 Temp/AppData 文件夹中运行？ ``` vol -f memory.raw windows.cmdline ``` ## 03 - 可疑进程调查 #### 可疑进程使用的命令行是什么？ ``` vol -f memory.raw windows.cmdline --pid ``` #### 可疑进程加载了哪些 DLL？ ``` vol -f memory.raw windows.dlllist --pid ``` #### 可疑进程打开了哪些句柄？ ``` vol -f memory.raw windows.handles --pid ``` #### 可疑 PID 的进程树是什么？ ``` vol -f memory.raw windows.pstree --pid ``` #### 可疑进程拥有哪些权限？ ``` vol -f memory.raw windows.privs --pid ``` ## 04 - 网络连接（C2 检测层） #### 有哪些活动的网络连接 & 哪些进程正在与外部通信？ ``` vol -f memory.raw windows.netscan ``` ## 05 - 恶意软件持久化机制 #### 是否存在恶意的 Run/RunOnce 注册表键？ ``` vol -f memory.raw windows.registry.printkey ``` #### 是否安装了可疑的服务？ ``` vol -f memory.raw windows.services ``` #### 是否存在恶意的计划任务？ ``` vol -f memory.raw windows.scheduledtasks ``` ## 06 - 凭证转储检测 #### 是否有访问 LSASS 内存的证据？ ``` vol -f memory.raw windows.handles ``` #### 是否存在 Mimikatz 或凭证转储活动？ ``` vol -f memory.raw windows.malfind ``` #### 是否有可疑的 DLL 加载到了 lsass.exe 中？ ``` vol -f memory.raw windows.dlllist --pid ``` ## 07 - 内存痕迹提取 #### 内存中存在哪些文件？ ``` vol -f memory.raw windows.filescan ``` #### 能否从内存中提取可疑文件？ ``` vol -f memory.raw windows.dumpfiles ``` ## 08 - 浏览器与用户痕迹 #### 内存中存在哪些浏览器历史记录？ ``` vol -f memory.raw windows.chromehistory ``` #### 用户执行过哪些应用程序？ ``` vol -f memory.raw windows.userassist ``` #### 访问过哪些文件夹和文件？ ``` vol -f memory.raw windows.shellbags ```

标签：AlienVault OTX, C2通信提取, CTF取证, JARM, Ruby on Rails, SecList, Volatility 3, 代码示例, 内存分析, 内存取证, 内存转储, 凭证转储, 取证实操手册, 安全脚本, 安全运营, 库, 应急响应, 恶意进程分析, 扫描框架, 持久化机制检测, 攻击行为重建, 数字取证, 数据分析, 网络连接分析, 自动化脚本, 证据完整性校验, 逆向工具