PassMark Volatility Workbench是一个命令行内存分析和取证工具。用于从内存转储中提取工件。它是免费的、开源的,并在 Windows 中运行。它提供了优于命令行的几个优点。
功能特色
1、无需安装Python脚本解释器。
2、无需记住命令行参数。
3、将平台和进程列表与内存转储一起存储在.CFG文件中。当重新加载内存映像时,这样可以节省大量时间,并且无需每次都获取进程列表。
4、使用.CFG文件进行自动平台检测
5、更简单的复制和粘贴。
6、更简单的纸质副本打印(通过右键单击)。
7、将转储的信息更简单地保存到磁盘上的文件中。
8、可用命令的下拉列表和命令功能的简短描述。
9、执行命令的时间戳。
10、自动加载在当前文件夹中找到的第一个转储文件。
11、支持分析Mac和Linux内存转储。
12、与解释版本相比,速度提高了20%。
更新日志
更新了工具以使用 Volatility 3 2.0.1
添加了对 Windows 11 的支持
添加了对新 Volatility 命令的支持,包括:
- windows.getservicesids
- windows.getsids
- windows.privileges
- windows.skeleton_key_check
- linux.check_creds
-linux.check_modules - linux.tty_check
