Skip to content

一款用于自动化处理内存取证的Python脚本,并提供GUI界面

Notifications You must be signed in to change notification settings

Tokeii0/VolatilityPro

Repository files navigation

VolatilityPro

推荐使用 Python 3.10+ 版本,其他版本可能存在未知的 bug。

新坑LovelyMem

https://github.com/Tokeii0/LovelyMem


这个项目拉了,之后不更新了,研究了一个新玩意,等比赛完了发

正在重构之前写的太烂了,只是一个勉强能用的情况,能用但不好用,准备加一点新功能,敬请期待

image image

更新记录

2023.6.18

  • 新增镜像字符串搜索功能
  • 表格宽度自适应

嘻嘻


2023.6.12

动画2


2023.6.10 晚上

  • 支持选择 filescan 文件

new


2023.6.10

  • 新增 GUI 界面,即开即用

image


老版本帮助

使用方法

python volpro.py [imagename] (profile) (dumpfiles)

参数解释:

  • [imagename]:映像文件路径。📁
  • (profile):可选的 profile 参数。提供此参数时,将跳过 imageinfo 任务。
  • (dumpfiles):可选的 dumpfiles 参数。使用此参数时,必须提供 profile 参数。

示例

# 没有 profile,自动选择 imageinfo 的第一个
python Volpro.py ADMIN-PC-20220616-025554.raw

# 设置了 profile,跳过 imageinfo 节约时间
python Volpro.py ADMIN-PC-20220616-025554.raw Win7SP1x64

# dumpfiles 命令的使用方法
python Volpro.py ADMIN-PC-20220616-025554.raw Win7SP1x64 dumpfiles 0x000000007dcc4480

image

image

image

About

一款用于自动化处理内存取证的Python脚本,并提供GUI界面

Topics

Resources

Stars

Watchers

Forks

Packages

No packages published

Languages