DAMM（内存中恶意软件的差异分析）是一种基于Volatility的开源内存分析工具。

它旨在为社区提供有趣的新技术的试验场。这些技术试图通过减少数据和编纂一些专业知识来加快调查过程。

特征：

?30个Volatility插件组合成~20个DAMM插件（例如，pslist ， psxview 和其他元素组合成'进程'插件）

可以在一次调用中运行多个插件

存储插件的选项会导致SQLite数据库进行保存或“缓存”分析

一种过滤/类型系统，允许轻松过滤像pid这样的属性，以查看与某些过程相关的所有信息以及字符串的精确或部分匹配等。

能够显示相同或类似机器的两个结果数据库之间的差异，并从cmdline操作差异如何操作

能够警告某些类型的可疑行为

终端，tsv 或 grepable的输出

用法：

damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG]

 [--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]
        [--grepable] [--filter FILTER] [--filtertype FILTERTYPE]
        [--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]

可选参数：

-h， -  help显示此帮助消息并退出

-d DIR其他插件目录的路径

-p PLUGIN [PLUGIN ...]
                        要运行的插件。有关选项列表，请使用--info

-f FILE用于运行插件的内存映像文件

-k KDBG图像的KDBG地址（十六进制）

--db DB SQLite db文件，用于高效的输入/输出

--profile PROFILE图像的波动率配置文件（例如WinXPSP2x86）

--debug打印调试语句

--info打印可用的波动率配置文件，插件

--tsv打印屏幕格式化输出。

--grepable以grepable文本格式打印

--filter FILTER过滤结果名称：值对，例如，pid：42

--filtertype FILTERTYPE
                        过滤匹配类型; “精确”或“部分”，
                        默认为部分

--diff BASELINE使用此db文件将imageFile | db扩展为基线

-u FIELD [FIELD ...]使用指定的字段来确定唯一性
                        记忆时的记忆

-warnings寻找可疑物品。

-q查询提供的db（通过--db）。

推荐文章++++

*开源网络实时分析工具Skydive

*Malheur - 恶意软件分析工具

*NetworkMiner - 网络取证分析工具