volatilityfoundation/volatility

该项目已存档。请查看 Volatility 3 以进行现代调查：https://github.com/volatilityfoundation/volatility3 # ============================================================================ Volatility 框架 - 易失性内存提取工具框架 Volatility 框架是一个完全开放的 Python 工具集，基于 GNU 通用公共许可证发布，用于从易失性内存 (RAM) 样本中提取数字取证数据。提取技术完全独立于被调查的系统，但能提供对系统运行时状态的可见性。该框架旨在向人们介绍从易失性内存样本中提取数字取证数据相关的技术和复杂性，并为这一令人兴奋的研究领域的进一步工作提供一个平台。 Volatility 发行版可从以下地址获取： http://www.volatilityfoundation.org/#!releases/component_71401 Volatility 应运行在任何支持 Python (http://www.python.org) 的平台上。 Volatility 支持对以下内存镜像的调查： Windows: 注意：请参阅以下链接的指南，了解关于最近修补的 Windows 7（或更高版本）内存样本兼容性的说明： ``` https://github.com/volatilityfoundation/volatility/wiki/2.6-Win-Profiles ``` Linux: Mac OSX: Volatility 不提供内存样本获取功能。对于获取，既有免费解决方案也有商业解决方案。如果您需要关于合适获取方案的建议，请通过以下方式联系我们： volatility (at) volatilityfoundation (dot) org Volatility 支持多种样本文件格式以及在这些格式之间进行转换的能力： 有关更详细的功能列表，请参阅以下内容： ``` https://github.com/volatilityfoundation/volatility/wiki ``` 另请参阅社区插件仓库： ``` https://github.com/volatilityfoundation/community ``` # 示例数据 如果您想试用 Volatility，可以从以下网址下载示例内存镜像： ``` https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples ``` # 邮件列表 支持 Volatility 用户和开发者的邮件列表可以在以下地址找到： ``` http://lists.volatilesystems.com/mailman/listinfo ``` # 联系方式 如需信息或请求，请联系： Volatility Foundation 网址: http://www.volatilityfoundation.org http://volatility-labs.blogspot.com http://volatility.tumblr.com 邮箱: volatility (at) volatilityfoundation (dot) org IRC: #volatility on freenode Twitter: @volatility # 需求 某些插件可能有其他需求，可以在以下地址找到： https://github.com/volatilityfoundation/volatility/wiki/Installation # 快速入门 $ python vol.py --info Volatility Foundation Volatility Framework 2.6 ## 地址空间 AMD64PagedMemory - 标准 AMD 64 位地址空间。 ArmAddressSpace - ARM 处理器的地址空间 FileAddressSpace - 这是一个直接文件 AS。 HPAKAddressSpace - 此 AS 支持 HPAK 格式 IA32PagedMemory - 标准 IA-32 分页地址空间。 IA32PagedMemoryPae - 此类实现 IA-32 PAE 分页地址空间。它负责 LimeAddressSpace - Lime 的地址空间 LinuxAMD64PagedMemory - Linux 特定的 AMD 64 位地址空间。 MachOAddressSpace - mach-o 文件的地址空间，以支持 atc-ny 内存读取器 OSXPmemELF - 此 AS 支持 VirtualBox ELF64 核心转储格式 QemuCoreDumpElf - 此 AS 支持 Qemu ELF32 和 ELF64 核心转储格式 VMWareAddressSpace - 此 AS 支持 VMware 快照 (VMSS) 和保存的状态 (VMSS) 文件 VMWareMetaAddressSpace - 此 AS 支持带有 VMSN/VMSS 元数据的 VMEM 格式 VirtualBoxCoreDumpElf64 - 此 AS 支持 VirtualBox ELF64 核心转储格式 Win10AMD64PagedMemory - Windows 10 特定的 AMD 64 位地址空间。 WindowsAMD64PagedMemory - Windows 特定的 AMD 64 位地址空间。 WindowsCrashDumpSpace32 - 此 AS 支持 Windows 崩溃转储格式 WindowsCrashDumpSpace64 - 此 AS 支持 Windows 崩溃转储格式 WindowsCrashDumpSpace64BitMap - 此 AS 支持 Windows 位图崩溃转储格式 WindowsHiberFileSpace32 - 这是 Windows 休眠文件的休眠地址空间。 ## 配置文件 VistaSP0x64 - Windows Vista SP0 x64 的配置文件 VistaSP0x86 - Windows Vista SP0 x86 的配置文件 VistaSP1x64 - Windows Vista SP1 x64 的配置文件 VistaSP1x86 - Windows Vista SP1 x86 的配置文件 VistaSP2x64 - Windows Vista SP2 x64 的配置文件 VistaSP2x86 - Windows Vista SP2 x86 的配置文件 Win10x64 - Windows 10 x64 的配置文件 Win10x64_10586 - Windows 10 x64 (10.0.10586.306 / 2016-04-23) 的配置文件 Win10x64_14393 - Windows 10 x64 (10.0.14393.0 / 2016-07-16) 的配置文件 Win10x86 - Windows 10 x86 的配置文件 Win10x86_10586 - Windows 10 x86 (10.0.10586.420 / 2016-05-28) 的配置文件 Win10x86_14393 - Windows 10 x86 (10.0.14393.0 / 2016-07-16) 的配置文件 Win2003SP0x86 - Windows 2003 SP0 x86 的配置文件 Win2003SP1x64 - Windows 2003 SP1 x64 的配置文件 Win2003SP1x86 - Windows 2003 SP1 x86 的配置文件 Win2003SP2x64 - Windows 2003 SP2 x64 的配置文件 Win2003SP2x86 - Windows 2003 SP2 x86 的配置文件 Win2008R2SP0x64 - Windows 2008 R2 SP0 x64 的配置文件 Win2008R2SP1x64 - Windows 2008 R2 SP1 x64 的配置文件 Win2008R2SP1x64_23418 - Windows 2008 R2 SP1 x64 (6.1.7601.23418 / 2016-04-09) 的配置文件 Win2008SP1x64 - Windows 2008 SP1 x64 的配置文件 Win2008SP1x86 - Windows 2008 SP1 x86 的配置文件 Win2008SP2x64 - Windows 2008 SP2 x64 的配置文件 Win2008SP2x86 - Windows 2008 SP2 x86 的配置文件 Win2012R2x64 - Windows Server 2012 R2 x64 的配置文件 Win2012R2x64_18340 - Windows Server 2012 R2 x64 (6.3.9600.18340 / 2016-05-13) 的配置文件 Win2012x64 - Windows Server 2012 x64 的配置文件 Win2016x64_14393 - Windows Server 2016 x64 (10.0.14393.0 / 2016-07-16) 的配置文件 Win7SP0x64 - Windows 7 SP0 x64 的配置文件 Win7SP0x86 - Windows SP0 x86 的配置文件 Win7SP1x64 - Windows 7 SP1 x64 的配置文件 Win7SP1x64_23418 - Windows 7 SP1 x64 (6.1.7601.23418 / 2016-04-09) 的配置文件 Win7SP1x86 - Windows 7 SP1 x86 的配置文件 Win7SP1x86_23418 - Windows 7 SP1 x86 (6.1.7601.23418 / 2016-04-09) 的配置文件 Win81U1x64 - Windows 8.1 Update 1 x64 的配置文件 Win81U1x86 - Windows 8.1 Update 1 x86 的配置文件 Win8SP0x64 - Windows 8 x64 的配置文件 Win8SP0x86 - Windows 8 x86 的配置文件 Win8SP1x64 - Windows 8.1 x64 的配置文件 Win8SP1x64_18340 - Windows 8.1 x64 (6.3.9600.18340 / 2016-05-13) 的配置文件 Win8SP1x86 - Windows 8.1 x86 的配置文件 WinXPSP1x64 - Windows XP SP1 x64 的配置文件 WinXPSP2x64 - Windows XP SP2 x64 的配置文件 WinXPSP2x86 - Windows XP SP2 x86 的配置文件 WinXPSP3x86 - Windows XP SP3 x86 的配置文件 ## 插件 amcache - 打印 AmCache 信息 apihooks - 检测进程和内核内存中的 API 挂钩 atoms - 打印会话和窗口站原子表 atomscan - 原子表的池扫描器 auditpol - 打印 HKLM\SECURITY\Policy\PolAdtEv 中的审核策略 bigpools - 使用 BigPagePoolScanner 转储大页池 bioskbd - 从实模式内存读取键盘缓冲区 cachedump - 从内存转储缓存的域哈希 callbacks - 打印系统范围的通知例程 clipboard - 提取 Windows 剪贴板的内容 cmdline - 显示进程命令行参数 cmdscan - 通过扫描 _COMMAND_HISTORY 提取命令历史记录 connections - 打印打开的连接列表 [仅限 Windows XP 和 2003] connscan - tcp 连接的池扫描器 consoles - 通过扫描 _CONSOLE_INFORMATION 提取命令历史记录 crashinfo - 转储崩溃转储信息 deskscan - tagDESKTOP (桌面) 的池扫描器 devicetree - 显示设备树 dlldump - 从进程地址空间转储 DLL dlllist - 打印每个进程已加载 DLL 的列表 driverirp - 驱动程序 IRP 挂钩检测 drivermodule - 将驱动程序对象关联到内核模块 driverscan - 驱动程序对象的池扫描器 dumpcerts - 转储 RSA 私钥和公钥 SSL 密钥 dumpfiles - 提取内存映射和缓存文件 dumpregistry - 将注册表文件转储到磁盘 editbox - 显示有关 Edit 控件的信息。（Listbox 实验性） envars - 显示进程环境变量 eventhooks - 打印 Windows 事件挂钩的详细信息 evtlogs - 提取 Windows 事件日志（仅限 XP/2003） filescan - 文件对象的池扫描器 gahti - 转储 USER 句柄类型信息 gditimers - 打印已安装的 GDI 计时器和回调 gdt - 显示全局描述符表 getservicesids - 获取注册表中服务的名称并返回计算的 SID getsids - 打印拥有每个进程的 SID handles - 打印每个进程的打开句柄列表 hashdump - 从内存转储密码哈希 (LM/NTLM) hibinfo - 转储休眠文件信息 hivedump - 打印配置单元 hivelist - 打印注册表配置单元列表。 hivescan - 注册表配置单元的池扫描器 hpakextract - 从 HPAK 文件提取物理内存 hpakinfo - HPAK 文件的信息 idt - 显示中断描述符表 iehistory - 重建 Internet Explorer 缓存/历史记录 imagecopy - 将物理地址空间作为原始 DD 镜像复制出来 imageinfo - 识别镜像信息 impscan - 扫描导入函数的调用 joblinks - 打印进程作业链接信息 kdbgscan - 搜索并转储潜在的 KDBG 值 kpcrscan - 搜索并转储潜在的 KPCR 值 ldrmodules - 检测取消链接的 DLL limeinfo - 转储 Lime 文件格式信息 linux_apihooks - 检查用户态 apihooks linux_arp - 打印 ARP 表 linux_aslr_shift - 自动检测 Linux ASLR 偏移 linux_banner - 打印 Linux banner 信息 linux_bash - 从 bash 进程内存恢复 bash 历史记录 linux_bash_env - 恢复进程的动态环境变量 linux_bash_hash - 从 bash 进程内存恢复 bash 哈希表 linux_check_afinfo - 验证网络协议的操作函数指针 linux_check_creds - 检查是否有进程共享凭据结构 linux_check_evt_arm - 检查异常向量表以查找系统调用表挂钩 linux_check_fop - 检查文件操作结构是否有 rootkit 修改 linux_check_idt - 检查 IDT 是否已被更改 linux_check_inline_kernel - 检查内联内核挂钩 linux_check_modules - 将模块列表与 sysfs 信息进行比较（如果可用） linux_check_syscall - 检查系统调用表是否已被更改 linux_check_syscall_arm - 检查系统调用表是否已被更改 linux_check_tty - 检查 tty 设备是否有挂钩 linux_cpuinfo - 打印每个活动处理器的信息 linux_dentry_cache - 从 dentry 缓存收集文件 linux_dmesg - 收集 dmesg 缓冲区 linux_dump_map - 将选定的内存映射写入磁盘 linux_dynamic_env - 恢复进程的动态环境变量 linux_elfs - 在进程映射中查找 ELF 二进制文件 linux_enumerate_files - 列出文件系统缓存引用的文件 linux_find_file - 列出并从内存中恢复文件 linux_getcwd - 列出每个进程的当前工作目录 linux_hidden_modules - 刻录内存以查找隐藏的内核模块 linux_ifconfig - 收集活动接口 linux_info_regs - 类似于 GDB 中的 'info registers'。它打印出所有的 linux_iomem - 提供类似于 /proc/iomem 的输出 linux_kernel_opened_files - 列出从内核中打开的文件 linux_keyboard_notifiers - 解析键盘通知器调用链 linux_ldr - 将 proc maps 的输出与 libdl 的库列表进行比较 linux_library_list - 列出加载到进程中的库 linux_librarydump - 将进程内存中的共享库转储到磁盘 linux_list_raw - 列出具有混杂套接字的应用程序 linux_lsmod - 收集已加载的内核模块 linux_lsof - 列出文件描述符及其路径 linux_malfind - 查找可疑的进程映射 linux_memmap - 转储 linux 任务的内存映射 linux_moddump - 提取已加载的内核模块 linux_mount - 收集挂载的 fs/devices linux_mount_cache - 从 kmem_cache 收集挂载的 fs/devices linux_netfilter - 列出 Netfilter 挂钩 linux_netscan - 刻录网络连接结构 linux_netstat - 列出打开的套接字 linux_pidhashtable - 通过 PID 哈希表枚举进程 linux_pkt_queues - 将每进程数据包队列写入磁盘 linux_plthook - 扫描 ELF 二进制文件的 PLT 以查找对非 NEEDED 映像的挂钩 linux_proc_maps - 收集进程内存映射 linux_proc_maps_rb - 通过映射红黑树收集 linux 的进程映射 linux_procdump - 将进程的可执行镜像转储到磁盘 linux_process_hollow - 检查进程镂空 (Process Hollowing) 的迹象 linux_psaux - 收集进程以及完整的命令行和启动时间 linux_psenv - 收集进程及其静态环境变量 linux_pslist - 通过遍历 task_struct->task 列表收集活动任务 linux_pslist_cache - 从 kmem_cache 收集任务 linux_psscan - 扫描物理内存以查找进程 linux_pstree - 显示进程之间的父/子关系 linux_psxview - 使用各种进程列表查找隐藏进程 linux_recover_filesystem - 从内存中恢复整个缓存的文件系统 linux_route_cache - 从内存中恢复路由缓存 linux_sk_buff_cache - 从 sk_buff kmem_cache 恢复数据包 linux_slabinfo - 在运行的机器上模拟 /proc/slabinfo linux_strings - 将物理偏移量匹配到虚拟地址（可能需要一段时间，非常详细） linux_threads - 打印进程的线程 linux_tmpfs - 从内存中恢复 tmpfs 文件系统 linux_truecrypt_passphrase - 恢复缓存的 Truecrypt 密码 linux_vma_cache - 从 vm_area_struct 缓存收集 VMA linux_volshell - 内存镜像中的 Shell linux_yarascan - Linux 内存镜像中的 shell lsadump - 从注册表转储（解密的）LSA 机密 mac_adium - 列出 Adium 消息 mac_apihooks - 检查进程中的 API 挂钩 mac_apihooks_kernel - 检查系统调用和内核函数是否被挂钩 mac_arp - 打印 arp 表 mac_bash - 从 bash 进程内存恢复 bash 历史记录 mac_bash_env - 恢复 bash 的环境变量 mac_bash_hash - 从 bash 进程内存恢复 bash 哈希表 mac_calendar - 从 Calendar.app 获取日历事件 mac_check_fop - 验证文件操作指针 mac_check_mig_table - 列出内核 MIG 表中的条目 mac_check_syscall_shadow - 查找影子系统调用表 mac_check_syscalls - 检查系统调用表条目是否被挂钩 mac_check_sysctl - 检查未知的 sysctl 处理程序 mac_check_trap_table - 检查 mach trap 表条目是否被挂钩 mac_compressed_swap - 打印 Mac OS X VM 压缩器统计信息并转储所有压缩页面 mac_contacts - 从 Contacts.app 获取联系人姓名 mac_dead_procs - 打印已终止/已释放的进程 mac_dead_sockets - 打印已终止/已释放的网络套接字 mac_dead_vnodes - 列出已释放的 vnode 结构 mac_devfs - 列出文件缓存中的文件 mac_dmesg - 打印内核调试缓冲区 mac_dump_file - 转储指定文件 mac_dump_maps - 转储进程的内存范围，可选包括压缩交换中的页面 mac_dyld_maps - 从 dyld 数据结构获取进程的内存映射 mac_find_aslr_shift - 查找 10.8+ 镜像的 ASLR 偏移值 mac_get_profile - 自动检测 Mac 配置文件 mac_ifconfig - 列出所有设备的网络接口信息 mac_interest_handlers - 列出 IOKit Interest Handlers mac_ip_filters - 报告任何被挂钩的 IP 过滤器 mac_kernel_classes - 列出内核中已加载的 c++ 类 mac_kevents - 显示进程的父/子关系 mac_keychaindump - 恢复可能的钥匙串密钥。使用 chainbreaker 打开相关的钥匙串文件 mac_ldrmodules - 将 proc maps 的输出与 libdl 的库列表进行比较 mac_librarydump - 转储进程的可执行文件 mac_list_files - 列出文件缓存中的文件 mac_list_kauth_listeners - 列出 Kauth Scope 监听器 mac_list_kauth_scopes - 列出 Kauth Scope 及其状态 mac_list_raw - 列出具有混杂套接字的应用程序 mac_list_sessions - 枚举会话 mac_list_zones - 打印活动区域 mac_lsmod - 列出已加载的内核模块 mac_lsmod_iokit - 通过 Iokit 列出已加载的内核模块 mac_lsmod_kext_map - 列出已加载的内核模块 mac_lsof - 列出每进程打开的文件 mac_machine_info - 打印有关样本的机器信息 mac_malfind - 查找可疑的进程映射 mac_memdump - 将可寻址内存页转储到文件 mac_moddump - 将指定的内核扩展写入磁盘 mac_mount - 打印挂载的设备信息 mac_netstat - 列出活动的每进程网络连接 mac_network_conns - 从内核网络结构列出网络连接 mac_notesapp - 查找 Notes 消息的内容 mac_notifiers - 检测将挂钩添加到 I/O Kit 的 rootkit（例如 LogKext） mac_orphan_threads - 列出无法映射回已知模块/进程的线程 mac_pgrp_hash_table - 遍历进程组哈希表 mac_pid_hash_table - 遍历 pid 哈希表 mac_print_boot_cmdline - 打印内核启动参数 mac_proc_maps - 获取进程的内存映射 mac_procdump - 转储进程的可执行文件 mac_psaux - 打印用户态中带参数的进程 (**argv) mac_psenv - 打印用户态中带环境的进程 (**envp) mac_pslist - 列出正在运行的进程 mac_pstree - 显示进程的父/子关系 mac_psxview - 使用各种进程列表查找隐藏进程 maccover_filesystem - 恢复缓存的文件系统 mac_route - 打印路由表 mac_socket_filters - 报告套接字过滤器 mac_strings - 将物理偏移量匹配到虚拟地址（可能需要一段时间，非常详细） mac_tasks - 列出活动任务 mac_threads - 列出进程线程 mac_threads_simple - 列出线程及其启动时间和优先级 mac_timers - 报告内核驱动程序设置的计时器 mac_trustedbsd - 列出恶意的 trustedbsd 策略 mac_version - 打印 Mac 版本 mac_vfsevents - 列出过滤文件系统事件的进程 mac_volshell - 内存镜像中的 Shell mac_yarascan - 使用 yara 签名扫描内存 machoinfo - 转储 Mach-O 文件格式信息 malfind - 查找隐藏和注入的代码 mbrparser - 扫描并解析潜在的主引导记录 (MBR) memdump - 转储进程的可寻址内存 memmap - 打印内存映射 messagehooks - 列出桌面和线程窗口消息挂钩 mftparser - 扫描并解析潜在的 MFT 条目 moddump - 将内核驱动程序转储为可执行文件样本 modscan - 内核模块的池扫描器 modules - 打印已加载模块的列表 multiscan - 一次扫描各种对象 mutantscan - 互斥对象的池扫描器 netscan - 扫描 Vista（或更高版本）镜像以查找连接和套接字 notepad - 列出当前显示的记事本文本 objtypescan - 扫描 Windows 对象类型对象 patcher - 基于页扫描修补内存 poolpeek - 可配置的池扫描器插件 pooltracker - 显示池标签使用情况摘要 printkey - 打印注册表项及其子项和值 privs - 显示进程权限 procdump - 将进程转储为可执行文件样本 pslist - 通过遍历 EPROCESS 列表打印所有正在运行的进程 psscan - 进程对象的池扫描器 pstree - 以树状形式打印进程列表 psxview - 使用各种进程列表查找隐藏进程 qemuinfo - 转储 Qemu 信息 raw2dmp - 将物理内存样本转换为 windbg 崩溃转储 screenshot - 基于 GDI 窗口保存伪屏幕截图 servicediff - 列出 Windows 服务（类似 Plugx） sessions - 列出 _MM_SESSION_SPACE 的详细信息（用户登录会话） shellbags - 打印 ShellBags 信息 shimcache - 解析应用程序兼容性 Shim Cache 注册表项 shutdowntime - 从注册表打印机器的关机时间 sockets - 打印打开的套接字列表 sockscan - tcp 套接字对象的池扫描器 ssdt - 显示 SSDT 条目 strings - 将物理偏移量匹配到虚拟地址（可能需要一段时间，非常详细） svcscan - 扫描 Windows 服务 symlinkscan - 符号链接对象的池扫描器 thrdscan - 线程对象的池扫描器 threads - 调查 _ETHREAD 和 _KTHREAD timeliner - 从内存中的各种取证数据创建时间线 timers - 打印内核计时器和关联的模块 DPC truecryptmaster - 恢复 TrueCrypt 7.1a 主密钥 truecryptpassphrase - TrueCrypt 缓存密码查找器 truecryptsummary - TrueCrypt 摘要 unloadedmodules - 打印已卸载模块的列表 userassist - 打印 userassist 注册表项和信息 userhandles - 转储 USER 句柄表 vaddump - 将 vad 部分转储到文件 vadinfo - 转储 VAD 信息 vadtree - 遍历 VAD 树并以树状格式显示 vadwalk - 遍历 VAD 树 vboxinfo - 转储 virtualbox 信息 verinfo - 打印 PE 镜像的版本信息 vmwareinfo - 转储 VMware VMSS/VMSN 信息 volshell - 内存镜像中的 Shell win10cookie - 查找 Windows 10 的 ObHeaderCookie 值 windows - 打印桌面窗口（详细详细信息） wintree - 打印 Z-Order 桌面窗口树 wndscan - 窗口站的池扫描器 yarascan - 使用 Yara 签名扫描进程或内核内存 # 许可与版权 Copyright (C) 2007-2016 Volatility Foundation 保留所有权利 Volatility 是自由软件；您可以根据自由软件基金会发布的 GNU 通用公共许可证条款重新分发和/或修改它；许可证的第 2 版或（根据您的选择）任何后续版本。 分发 Volatility 是希望它有用，但没有任何保证；甚至没有适销性或特定用途适用性的默示保证。有关更多详细信息，请参阅 GNU 通用公共许可证。 您应该随 Volatility 收到一份 GNU 通用公共许可证副本。如果没有，请参阅 。 # 错误与支持 Volatility 不提供支持。没有任何保证；甚至没有适销性或特定用途适用性的保证。 如果您认为自己发现了错误，请在以下地址报告： ``` https://github.com/volatilityfoundation/volatility/issues ``` 为了帮助我们尽快解决您的问题，请在提交错误时包含以下信息： 根据内存镜像的操作系统，您可能需要提供额外信息，例如： 对于 Windows： 对于 Linux： 其他沟通选项可以在以下地址找到： https://github.com/volatilityfoundation/volatility/wiki # 信息缺失或截断 Volatility Foundation 不对 Volatility 输出的有效性或正确性做任何声明。许多因素可能导致 Volatility 的输出不正确，包括但不限于对操作系统的恶意修改、由于交换导致的信息不完整以及镜像获取时的信息损坏。 # 命令参考 以下 URL 包含 Volatility 支持的所有命令的参考。 ``` https://github.com/volatilityfoundation/volatility/wiki ```

标签：AlienVault OTX, Common Crawl, DAST, Docker‑Compose, GhostArchive, GUI应用, HTTPS请求, HTTP请求, Intelligence X, Linux取证, MacOS取证, Python, RAM分析, SecList, URLScan, URL收集, Volatility, Web归档检索, Web界面, Windows取证, 主机友好, 事件响应, 二进制发布, 云资产清单, 内存取证, 内存提取, 合规审计, 威胁狩猎, 库, 应急响应, 开源工具, 恶意软件分析, 批量URL抓取, 数字取证, 数字调查, 无后门, 框架, 流量控制, 漏洞分析, 用户界面自定义, 网络安全, 自动化脚本, 路径探测, 路径枚举, 逆向工具, 逆向工程, 隐私保护