技能 memory-forensics

🔍

memory-forensics

Name: memory-forensics
Author: sickn33

安全 ⚙️ 外部命令📁 檔案系統存取

使用 Volatility 分析記憶體傾印

記憶體取證對於偵測規避磁碟分析的高級威脅至關重要。此技能提供關於取得記憶體傾印和使用 Volatility 3 進行分析的全面指導，以擷取構件、偵測惡意軟體及調查事件。

支援: Claude Codex Code(CC)

🥉 75 青銅

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「memory-forensics」。 How do I analyze a memory dump for network connections?

預期結果:

Use Volatility 3 windows.netscan to list network connections. For a memory dump file named 'memory.raw', run: vol -f memory.raw windows.netscan. This shows active connections including local/remote addresses, ports, and state. Use windows.netstat for connection state information.

正在使用「memory-forensics」。 What is the workflow for analyzing malware in memory?

預期結果:

Follow this workflow: (1) Run windows.pstree and windows.pslist for process overview, (2) Use windows.netscan for network artifacts, (3) Run windows.malfind to detect code injection, (4) Analyze suspicious processes with windows.dlllist, (5) Dump suspicious executables with pslist --pid <PID> --dump, (6) Extract strings and run YARA scanning.

安全審計

安全

v1 • 2/25/2026

This is a legitimate defensive security documentation skill for memory forensics. All 86 static findings are false positives: command examples are documentation for forensic tools (Volatility, WinPmem, LiME), Cobalt Strike references are YARA detection rules for defensive use, and privilege escalation patterns are standard forensic acquisition techniques. Safe for marketplace publication.

已掃描檔案

494

分析行數

發現項

審計總數

風險因素

⚙️ 外部命令 (10)

SKILL.md:27 SKILL.md:34-46 SKILL.md:46-49 SKILL.md:49-58 SKILL.md:58-61 SKILL.md:61-66 SKILL.md:66-70 SKILL.md:70-82 SKILL.md:82-88 SKILL.md:88-100

📁 檔案系統存取 (4)

SKILL.md:53-54 SKILL.md:56-57 SKILL.md:116 SKILL.md:453

偵測到的模式

External Commands DocumentationCobalt Strike Detection RulePrivilege Escalation Patterns

審計者: claude

品質評分

架構

100

可維護性

內容

社群

100

安全

100

規範符合性

你能建構什麼

事件回應調查

分析受入侵系統的記憶體傾印，以識別攻擊者使用的惡意程序、網路連線和持續性機制。

惡意軟體構件擷取

從程序記憶體中擷取可疑的執行檔和酬載，以便在沙盒環境中進行進一步分析。

企業數位鑑識分析

作為更廣泛鑑識調查的一部分，進行系統性的記憶體取證，以建立時間軸並識別攻擊者活動。

試試這些提示

記憶體取得指南

我需要從 Windows 10 系統取得記憶體進行鑑識分析。應該使用什麼工具？推薦的命令是什麼？

程序分析

我有一個記憶體傾印檔案。如何使用 Volatility 3 列出所有執行中的程序並識別隱藏或可疑的程序？

注入偵測

哪些 Volatility 命令可以幫助我偵測 Windows 記憶體傾印中的程式碼注入和 DLL 注入？

認證擷取

如何使用 Volatility 從 Windows 記憶體傾印中擷取密碼雜湊和 LSA 秘密？

最佳實務

始終先取得記憶體再進行任何磁碟分析，以保留 volatile 資料
取得記憶體後立即計算雜湊值，以維持監管鏈
使用多個 Volatility 外掛程式來交叉比對發現並驗證結果
記錄分析过程中的所有命令、時間戳和發現

避免

不要在產生記憶體傾印的同一系統上分析記憶體傾印，以免造成污染
不要依賴單一外掛程式的結果 - 務必使用替代外掛程式進行交叉比對
不要跳過符號表配置 - 錯誤的符號會導致假陰性

常見問題

我需要什麼工具才能開始記憶體取證？

您需要記憶體取得工具（Windows 使用 WinPcap、Linux 使用 LiME、macOS 使用 osxpmeter）和 Volatility 3 框架。安裝方式：pip install volatility3

如何選擇正確的 Volatility 設定檔？

設定檔必須與記憶體傾印的作業系統版本和建置編號相符。使用 windows.info（Volatility 2）或在分析期間識別。錯誤的設定檔會導致解析錯誤。

我可以使用 Volatility 3 分析 Linux 記憶體傾印嗎？

是的，Volatility 3 支援 Linux 分析，外掛程式包括 linux.pslist、linux.pstree、linux.bash 和 linux.sockstat。請確保您有正確的 Linux 設定檔。

如何偵測記憶體中的隱藏程序？

比較 windows.pslist（作用中程序）和 windows.psscan（從記憶體池掃描）的輸出。隱藏的程序會出現在 psscan 但不在 pslist 中。使用 windows.pstree 顯示父子關係。

windows.malfind 和 windows.ldrmodules 有什麼區別？

malfind 透過尋找具有可疑保護旗標的可執行記憶體區域來偵測程式碼注入。ldrmodules 找出已載入但在 PEB 中不可見的 DLL - 這是 DLL 注入的跡象。

如何從記憶體中擷取檔案？

使用 windows.dumpfiles 從記憶體中擷取檔案，使用 windows.memmap --pid <PID> --dump 傾印特定的程序記憶體空間。請注意，加密的檔案可能無法復原。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/memory-forensics

引用

main

檔案結構

📄 SKILL.md