正文

请到「今天看啥」查看全文

) 领导，使 Volatility 3 能够从一开始就解决 Volatility 2 的用户和开发人员的所有痛点。

这项工作的重点包括取消所有操作系统的 --profile 参数要求、自动整合所有生成时间戳的插件的时间线，以及可扩展的结构化输出格式，并自动支持添加到框架中的所有插件。 这些功能，以及稍后讨论的 --filters 功能，在最近基于 Volatility 3 的研讨会和培训中收到了非常积极的反馈。

详细的新功能

在本节中，我们将重点介绍 Volatility 3 中一些最有用的、评价很高的新功能。完整的项目文档会持续添加到我们的 Read The Docs 网站 上，我们也很乐意接受核心团队之外的贡献者提供的优质文档贡献。

不再需要 ‐-profile！

所有用户都欢欣鼓舞的功能是 Volatility 3 中删除了 ‐-profile。Volatility 3 不再依赖用户输入来确定操作系统类型，而是可以自行确定特定的操作系统版本，从而获得更准确的结果，并解锁跨多个插件和内存样本进行脚本分析的能力。

对于 Windows，如果分析系统在线并可以访问 Microsoft 的符号服务器，则此处理会自动发生。对于离线 Windows 用户，或用于分析 Linux 系统，请参阅 Read The Doc 链接以添加支持和自动化。

‐-filters 标志

即使是命令行高手也常常发现很难使用 grep 和 awk 等工具正确过滤 Volatility 2 的输出。当试图搜索跨插件的特定数字时，这些插件会生成多个数字列，以及搜索非常短的字符串时，尤其如此。

值得庆幸的是，由于增加了 the ‐-filters 标志 ，用户不再需要为此担心。有了这个功能，用户可以指定一个或多个列进行自动搜索，并且只生成匹配至少一个过滤器的行。搜索词可以是一个简单的字符串、完整的正则表达式或一个数值。

下图显示了我们培训课程中的一张幻灯片，其中 ImageFileName 列的 windows.pslist 被过滤为仅包含 jqs.exe 的条目。幻灯片底部还包括关于不同输入格式的注释。

如前所述，‐-filters 标志也支持数值，如下面的截图所示，当列出从地址 0x1000000 开始的内存范围 (VAD) 时：

请到「今天看啥」查看全文