analyzing-memory-forensics-with-lime-and-volatility

使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。

9 stars

Best use case

analyzing-memory-forensics-with-lime-and-volatility is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。

Teams using analyzing-memory-forensics-with-lime-and-volatility should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-memory-forensics-with-lime-and-volatility/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-memory-forensics-with-lime-and-volatility/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-memory-forensics-with-lime-and-volatility/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-memory-forensics-with-lime-and-volatility Compares

Feature / Agentanalyzing-memory-forensics-with-lime-and-volatilityStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 LiME 和 Volatility 进行内存取证分析

## 说明

使用 LiME 内核模块采集 Linux 内存,然后使用 Volatility 3 从内存镜像中提取取证制品。

```bash
# LiME 内存采集
insmod lime-$(uname -r).ko "path=/evidence/memory.lime format=lime"

# Volatility 3 分析
vol3 -f /evidence/memory.lime linux.pslist
vol3 -f /evidence/memory.lime linux.bash
vol3 -f /evidence/memory.lime linux.sockstat
```

```python
import volatility3
from volatility3.framework import contexts, automagic
from volatility3.plugins.linux import pslist, bash, sockstat

# Volatility 3 编程方式使用
context = contexts.Context()
automagics = automagic.available(context)
```

关键分析步骤:
1. 使用 LiME 采集内存(format=lime 或 format=raw)
2. 使用 linux.pslist 列出进程,与 linux.psscan 比对
3. 使用 linux.bash 提取 bash 命令历史
4. 使用 linux.sockstat 列出网络连接
5. 使用 linux.lsmod 检查已加载的内核模块(rootkit 检测)

## 示例

```bash
# 完整取证工作流
vol3 -f memory.lime linux.pslist | grep -v "\[kthread\]"
vol3 -f memory.lime linux.bash
vol3 -f memory.lime linux.malfind
vol3 -f memory.lime linux.lsmod
```

Related Skills

performing-sqlite-database-forensics

9
from killvxk/cybersecurity-skills-zh

对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。

performing-mobile-device-forensics-with-cellebrite

9
from killvxk/cybersecurity-skills-zh

使用 Cellebrite UFED 和开源工具获取和分析移动设备数据,提取通信记录、位置数据和应用程序制品。

performing-memory-forensics-with-volatility3

9
from killvxk/cybersecurity-skills-zh

使用 Volatility 3 分析易失性内存转储,以提取运行中的进程、网络连接、加载的模块以及恶意活动的证据。

performing-memory-forensics-with-volatility3-plugins

9
from killvxk/cybersecurity-skills-zh

使用 Volatility3 插件分析内存转储,检测 Windows、Linux 和 macOS 内存镜像中的注入代码、Rootkit、凭据窃取和恶意软件痕迹。

performing-linux-log-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

对 Linux 系统日志(包括 syslog、auth.log、systemd journal、kern.log 和应用程序日志)进行取证调查,以重建用户活动、检测未授权访问并在被入侵的 Linux 系统上建立事件时间线。

performing-endpoint-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

performing-disk-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

performing-cloud-native-forensics-with-falco

9
from killvxk/cybersecurity-skills-zh

使用 Falco YAML 规则在容器和 Kubernetes 中进行运行时威胁检测,监控系统调用以检测 shell 生成、文件篡改、网络异常和权限提升。通过 Falco gRPC API 管理 Falco 规则并解析 Falco 告警输出。适用于构建容器运行时安全或调查 k8s 集群入侵。

performing-cloud-forensics-with-aws-cloudtrail

9
from killvxk/cybersecurity-skills-zh

使用 CloudTrail 日志对 AWS 环境执行取证调查,重建攻击者活动、识别受损凭据并分析 API 调用模式。

performing-cloud-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

通过收集和分析来自 AWS、Azure 和 GCP 服务的日志、快照和元数据,在云环境中开展取证调查。

implementing-memory-protection-with-dep-aslr

9
from killvxk/cybersecurity-skills-zh

实施内存保护机制,包括 DEP(数据执行防护)、ASLR(地址空间布局随机化)、 CFG(控制流防护)和其他漏洞利用缓解措施,以防御内存损坏攻击。适用于加固端点 以抵御缓冲区溢出利用、ROP 链和代码注入的场景。适用于涉及内存保护、漏洞利用缓解、 DEP、ASLR 或 CFG 配置的请求。