volatility3
volatility3处理虚拟机内存快照报错
# 准备工作 python 3.7 以上 https://github.com/volatilityfoundation/volatility3 ``` #安装 pip install volatility3 #使用 vol.exe -vvv -f test-Snapshot1.vmem hashd ......
使用volatility3识别进程上下文——识别进程名欺骗、父进程欺骗、进程镂空(进程掏空)
注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下: PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\ ......