mortdaabbas/memory-forensics-tool-

Set-Content -Path README.md -Value @' # FMEM - Windows 11 物理内存 Carver FMEM 是一个基于 Python 的专用内存取证框架，旨在直接从原始物理内存转储中解析和提取活动进程、元数据以及内核结构。它专为支持深度的取证事件响应工作流而构建，能够处理诸如内核地址空间布局随机化 (KASLR) 和页表错误等现代系统行为。 ## 🚀 核心功能 * 原始内存提取引擎：直接从原始二进制内存镜像中扫描并提取进程表、活动线程及相关元数据。 * KASLR 绕过层：采用程序化启发式分析来绕过 Windows 内核地址空间布局随机化。 * 容错转换：在物理地址到虚拟地址的转换过程中处理并隔离页表错误。 * 直观的 GUI 平台：包含一个内置的桌面应用程序 (FmemGui)，可无缝加载、扫描、搜索和导出提取的工件。 ## 📁 仓库结构 * fmem/ — 核心框架包（上下文管理、转换层、插件注册、内存扫描器和内核结构）。 * memoryf/ — 用于自定义分析扩展的扩展实用程序组件。 * main.py — 用于 CLI 驱动分析的主要终端入口点。 * gui.py — 主桌面启动脚本（实例化 FmemGui）。 ## ⚙️ 安装与设置 1. 克隆仓库： `bash git clone [https://github.com/mortdaabbas/memory-forensics-tool.git](https://github.com/mortdaabbas/memory-forensics-tool.git) cd memory-forensics-tool 2. 设置虚拟环境 python -m venv .venv .\.venv\Scripts\Activate.ps1 3. 运行应用程序 python gui.py 4.CMD python main.py

标签：Python, SecList, Windows 11, 内存取证, 库, 应急响应, 数字取证, 文档结构分析, 无后门, 自动化脚本, 逆向分析, 逆向工具