analyzing-memory-forensics-with-lime-and-volatility
使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。
Best use case
analyzing-memory-forensics-with-lime-and-volatility is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。
Teams using analyzing-memory-forensics-with-lime-and-volatility should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-memory-forensics-with-lime-and-volatility/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-memory-forensics-with-lime-and-volatility Compares
| Feature / Agent | analyzing-memory-forensics-with-lime-and-volatility | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 LiME 和 Volatility 进行内存取证分析 ## 说明 使用 LiME 内核模块采集 Linux 内存,然后使用 Volatility 3 从内存镜像中提取取证制品。 ```bash # LiME 内存采集 insmod lime-$(uname -r).ko "path=/evidence/memory.lime format=lime" # Volatility 3 分析 vol3 -f /evidence/memory.lime linux.pslist vol3 -f /evidence/memory.lime linux.bash vol3 -f /evidence/memory.lime linux.sockstat ``` ```python import volatility3 from volatility3.framework import contexts, automagic from volatility3.plugins.linux import pslist, bash, sockstat # Volatility 3 编程方式使用 context = contexts.Context() automagics = automagic.available(context) ``` 关键分析步骤: 1. 使用 LiME 采集内存(format=lime 或 format=raw) 2. 使用 linux.pslist 列出进程,与 linux.psscan 比对 3. 使用 linux.bash 提取 bash 命令历史 4. 使用 linux.sockstat 列出网络连接 5. 使用 linux.lsmod 检查已加载的内核模块(rootkit 检测) ## 示例 ```bash # 完整取证工作流 vol3 -f memory.lime linux.pslist | grep -v "\[kthread\]" vol3 -f memory.lime linux.bash vol3 -f memory.lime linux.malfind vol3 -f memory.lime linux.lsmod ```
Related Skills
performing-sqlite-database-forensics
对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。
performing-mobile-device-forensics-with-cellebrite
使用 Cellebrite UFED 和开源工具获取和分析移动设备数据,提取通信记录、位置数据和应用程序制品。
performing-memory-forensics-with-volatility3
使用 Volatility 3 分析易失性内存转储,以提取运行中的进程、网络连接、加载的模块以及恶意活动的证据。
performing-memory-forensics-with-volatility3-plugins
使用 Volatility3 插件分析内存转储,检测 Windows、Linux 和 macOS 内存镜像中的注入代码、Rootkit、凭据窃取和恶意软件痕迹。
performing-linux-log-forensics-investigation
对 Linux 系统日志(包括 syslog、auth.log、systemd journal、kern.log 和应用程序日志)进行取证调查,以重建用户活动、检测未授权访问并在被入侵的 Linux 系统上建立事件时间线。
performing-endpoint-forensics-investigation
对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。
performing-disk-forensics-investigation
使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。
performing-cloud-native-forensics-with-falco
使用 Falco YAML 规则在容器和 Kubernetes 中进行运行时威胁检测,监控系统调用以检测 shell 生成、文件篡改、网络异常和权限提升。通过 Falco gRPC API 管理 Falco 规则并解析 Falco 告警输出。适用于构建容器运行时安全或调查 k8s 集群入侵。
performing-cloud-forensics-with-aws-cloudtrail
使用 CloudTrail 日志对 AWS 环境执行取证调查,重建攻击者活动、识别受损凭据并分析 API 调用模式。
performing-cloud-forensics-investigation
通过收集和分析来自 AWS、Azure 和 GCP 服务的日志、快照和元数据,在云环境中开展取证调查。
implementing-memory-protection-with-dep-aslr
实施内存保护机制,包括 DEP(数据执行防护)、ASLR(地址空间布局随机化)、 CFG(控制流防护)和其他漏洞利用缓解措施,以防御内存损坏攻击。适用于加固端点 以抵御缓冲区溢出利用、ROP 链和代码注入的场景。适用于涉及内存保护、漏洞利用缓解、 DEP、ASLR 或 CFG 配置的请求。