Cyber-Fortune112/Amadey-memory-forensics

# Amadey-memory-forensics 使用 Volatility3 进行内存取证调查和恶意软件分析。 # Amadey 内存取证 ## 概述 本项目记录了使用 Volatility3 对 Windows 内存转储进行调查的过程，旨在识别与 Amadey 木马相关的恶意活动。 ## 项目场景 一个可疑的 Windows 工作站生成了端点检测与响应 (EDR) 警报，指示可能存在恶意软件活动。通过内存分析技术来识别正在运行的进程、调查持久化机制，并重建恶意软件的行为。 ## 目标 - 分析 Windows 内存镜像。 - 识别可疑和恶意进程。 - 调查恶意软件的持久化技术。 - 检查潜在的命令与控制 (C2) 活动。 - 记录发现和观察结果。 ## 使用的工具 - Kali Linux - Volatility3 - 基础威胁情报资源 ## 方法论 1. 将内存转储加载到 Volatility3 中。 2. 枚举活动的进程和服务。 3. 调查可疑的父子进程关系。 4. 检查网络连接和潜在的持久化机制。 5. 记录威胁指标并总结恶意软件活动。 ## 展示的技能 - 内存取证 - 恶意软件分析 - 安全事件调查 - 威胁狩猎 - 技术文档 ## 免责声明 本项目是在受控的教育实验室环境中完成的，仅用于网络安全培训目的。

标签：DAST, IP 地址批量处理, SecList, Volatility3, 内存取证, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本, 逆向工具