DAMM(内存中恶意软件的差异分析)是一种基于Volatility的开源内存分析工具。
它旨在为社区提供有趣的新技术的试验场。这些技术试图通过减少数据和编纂一些专业知识来加快调查过程。
特征:
?30个Volatility插件组合成~20个DAMM插件(例如,pslist , psxview 和其他元素组合成'进程'插件)
可以在一次调用中运行多个插件
存储插件的选项会导致SQLite数据库进行保存或“缓存”分析
一种过滤/类型系统,允许轻松过滤像pid这样的属性,以查看与某些过程相关的所有信息以及字符串的精确或部分匹配等。
能够显示相同或类似机器的两个结果数据库之间的差异,并从cmdline操作差异如何操作
能够警告某些类型的可疑行为
终端,tsv 或 grepable的输出
用法:
damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG]
[--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]
[--grepable] [--filter FILTER] [--filtertype FILTERTYPE]
[--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]
可选参数:
-h, - help显示此帮助消息并退出
-d DIR其他插件目录的路径
-p PLUGIN [PLUGIN ...]
要运行的插件。有关选项列表,请使用--info
-f FILE用于运行插件的内存映像文件
-k KDBG图像的KDBG地址(十六进制)
--db DB SQLite db文件,用于高效的输入/输出
--profile PROFILE图像的波动率配置文件(例如WinXPSP2x86)
--debug打印调试语句
--info打印可用的波动率配置文件,插件
--tsv打印屏幕格式化输出。
--grepable以grepable文本格式打印
--filter FILTER过滤结果名称:值对,例如,pid:42
--filtertype FILTERTYPE
过滤匹配类型; “精确”或“部分”,
默认为部分
--diff BASELINE使用此db文件将imageFile | db扩展为基线
-u FIELD [FIELD ...]使用指定的字段来确定唯一性
记忆时的记忆
-warnings寻找可疑物品。
-q查询提供的db(通过--db)。
推荐文章++++