Volatility2.6的使用-h：查看帮助-f：指定镜像imageinfo：获取当前内存镜像基本信息–profile：指定镜像对应系统相关命令后接参数：-p：指定PID-Q：指定内存地址-D/–dump-dir：指定导出目录-o：指定注册表的virtual地址volatility-f镜像参数命令示例：volatility-fXXX.raw--profil

文章目录一、背景二、什么是内存取证？三、参考文章四、工具及题目五、解析1、哪个Volatility配置文件最适合这台机器？拓展1.12、获取镜像时有多少个进程在运行？拓展1.23、cmd.exe的进程ID是什么？4、最可疑的进程名称是什么？拓展1.35、哪一个进程被注入的可能性最高？6、最近