一款基于memprocfs、Volatility2、Volatility3的快捷内存取证工具
区别于VolatilityPro:https://github.com/Tokeii0/VolatilityPro
有着更快的取证速度以及更便捷的功能
视频展示:https://www.bilibili.com/video/BV1z912YpECB
- 没有套娃的取证题目
- Windows内存取证
📌 更新日志
- 🎨 全新界面设计,提供上百种可选择的主题配色!
- 🛠️ 重写了标题栏及窗口控制按钮(关闭/最小化)。
- 🧰 Memprocfs 功能区域进行了基础功能和时间线的分类,新增系统信息查看功能,集成了
systeminfo的内容。 - 🚀 在 vol2 区域,功能划分为六大类:基础功能、高级功能、系统信息、用户信息、文件导出和扩展功能。
- 🔍 vol3 区域采用了与 vol2 不同的分类方式:进程信息、系统信息、文件与网络、注册表、恶意代码检测、其他功能。后续会根据用户反馈考虑是否统一分类方式。
- 🐍 vol2 版本从封装好的 exe 程序转为 Python 2 版本,需在使用前安装 VCForPython27。
- 📁 Tools 分类从
lovelymem文件夹移出,与其并列存放,若不适应可自行调整位置,并修改lovelymem/config/base_config.yaml文件。 - ⚡ 优化了 CSV 文件的读取速度,现在速度更快。
- 📊 为常用功能(如
filescan、pslist)设置了表格查看时的专用菜单。 - 🔎 表格内搜索现在直接显示在界面下方,不会弹出新窗口。
- 🚀 预设槽与正则槽支持快速任务执行,帮助你快速定位所需内容。
- 📚 新增 vol2 常备知识功能,方便学习使用。
- 🖥️ 现在支持通过 memprocfs、vol2 和 vol3 三种途径导出文件,支持快速将
memdump转为 GIMP 文件。
这样看起来更简洁活泼,也更容易阅读了!
远离内卷,还CTF圈一个朗朗乾坤
愿望是取证像喝水一样简单