附件下载下来是一个vmem是一个虚拟内存文件，保存有镜像的一些信息首先分析文件的镜像信息： vol.py-fchall.vmemimageinfo得到操作系统信息是Win7SP1x64接着扫描内存镜像中文件系统的条目：vol.py-fchall.vmem--profile=Win7SP1x64filescan|grepzip根据扫