总体思路:
    一.解析Windows/Linux/Mac Os的内存结构
    二.分析进程数据,内存数据。
    三.根据题目提示寻找线索和思路,进而提取分析指定进程的特定内存数据。

    常见的内存文件格式:img、dmp、raw、vmem等。

    实际具体操作:
    1.拿到内存镜像文件时首先要确定镜像的基本信息(此处以文件memory.img文件为例说明)
    命令:volatility -f memory.img imageinfo
    图片.png找到大概分析的镜像所属系统的基本信息,以及配置文件。
    2.得到配置文件后,根据对应的配置文件进行相应的查询
    a.查看系统开放端口以及连接情况(发现可疑进程、可疑连接
    命令: volatility -f memory.img —profile=Win2003SP1x86 netscan
    可能有的镜像文件没有会报错:
    图片.png