PyDFIR/pyDFIRRam

GitHub: PyDFIR/pyDFIRRam

PyDFIRRam 是一个简化内存取证流程的 Python 库，基于 Volatility 3，专注于数据解析而非命令操作。

Stars: 30 | Forks: 2

# pyDFIRRam [![PyPI 版本](https://badge.fury.io/py/pydfirram.svg)](https://badge.fury.io/py/pydfirram) [![构建状态](https://travis-ci.org/pyDFIR/pyDFIRRam.svg?branch=main)](https://travis-ci.org/pyDFIR/pyDFIRRam) [![许可证：AGPL v3](https://img.shields.io/badge/License-AGPLv3-blue.svg)](https://www.gnu.org/licenses/agpl-3.0) PyDFIRRam 是一个 Python 库，旨在简化并增强内存取证任务。它提供工具来简化内存转储的研究、解析和分析，让用户能够专注于数据而非命令。 ## 目录 - [安装](#installation) - [用法](#usage) - [Jupyter Lab](#jupyter-lab) - [脚本](#script) - [示例](#examples) - [目标](#objectives) ## 安装 PyDFIRRam 使用 Poetry 构建，因此您需要先安装它。您可以使用以下命令安装 pyDFIRRam： 1. 克隆仓库： git clone https://github.com/pyDFIR/pyDFIRRam 2. 使用 Poetry 安装： poetry install ## 用法您可以通过多种方式使用该库： - 在 Jupyter Lab 环境中 - 在脚本中 ### Jupyter Lab 通过运行以下命令快速启动项目： ``` poetry run jupyter lab ``` 在 Jupyter Lab 中，您可以按如下方式使用该库： ``` from pathlib import Path from pydfirram.modules import Windows dumpfile = Path(DUMP_FILE) win = Windows(dumpfile) output = win.PsList(pid=[4]).to_df(max_row=True) # max_row=True is an option on to_df to see all the content of the dataframe. All the content will be printed in your Jupyter output cell. print(output) ``` ### 脚本您也可以在 Python 脚本中使用该库： ``` from pathlib import Path from pydfirram.modules.windows import Windows dumpfile = Path(DUMP_FILE) win = Windows(dumpfile) output = win.pslist() # 获取列表： print(output.to_list()) # 对于 DataFrame： print(output.to_df()) # 或将其转换为 JSON： print(win.pslist().to_json()) ``` 所有受支持的功能均已记录在案，请在[我们的文档](https://pydfir.github.io/pyDFIRRam)中查看！ ## 目标 1. 简化使用 Volatility 进行研究和反复尝试的过程 2. 轻松解析输出 3. 专注于数据而非命令 4. 作为数据集使用 5. 在同一程序中管理多个转储文件

标签：DAST, JARM, Jupyter Lab, meg, Ruby on Rails, SecList, Volatility 3, 代码示例, 信息安全, 内存分析, 内存取证, 内存转储, 取证工具, 命令行简化, 恶意软件分析, 数字取证, 数据分析, 数据框, 数据解析, 网络安全, 自动化脚本, 进程列表, 逆向工具, 隐私保护