[TOC] ## 内存获取的方法如下几种： * 基于用户模式程序的内存获取 * 基于内核模式程序的内存获取 * 基于系统崩溃转储的内存获取 * 基于操作系统注入的内存获取 * 基于系统休眠文件的内存获取 * 基于虚拟化快照的内存获取 * 基于系统冷启动的内存获取 * 基于硬件的内存获取 ## 常用方法 * 基于内核模式程序的内存获取：这种获取方法一般需要借助工具来完成，常用的提取工具有 Dumpit、Redline、RAM Capturer 、FTK Imager 等 * 基于系统崩溃转储的内存获取：打开“系统属性”对话框，选择“高级” 选项卡，单击“启动和故障恢复” 中的 “设置” 按钮，打开 “启动和故障恢复” 对话框，选择 ”核心内存转储“ 并找到转储文件进行获取 * 基于虚拟化快照的内存获取：这种获取方法是通过 VMware Workstation、ESXI 等虚拟化软件实现的，VMware Workstation 在生成快照时会自动生成虚拟内存文件 ## 工具 ### Redline 在获得内存文件后，可以使用 Redline 进行导入分析，其主要收集在主机上运行的有关进行信息、内存中的驱动程序，以及其他数据，如元数据、注册表数据库、任务、服务、网络信息和Internet 历史记录等，最终生成报告 ### Volatility * Volatility 是一个开源的内存取证工具，可以分析入侵攻击痕迹，包括网络连接、进程、服务、驱动模块、DLL、Handles、进程注入、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit 隐藏文件、cmdliner 等 * netscan : 对内存镜像中的网络连接情况进行排查 * psxview : 查看内存镜像中带有隐藏进程的所有进程列表，使用psxview 命令排查隐藏进程 * malfind : 查找隐藏或注入的代码、DLL * cmdscan : 可提取执行的相关命令记录 * procdump : 可提取进程文件，可通过指定进程的PID 的值来对特定的进程文件进行提取，比如： procdump -p 3203 -D (用来提取进程文件)