数据取证工具MemProcFS

MemProcFS 是一种将物理内存视为虚拟文件系统中的文件的简便方法。简单的点击内存分析，无需复杂的命令行参数！通过安装的虚拟文件系统中的文件或通过功能丰富的应用程序库访问内存内容和工件以包含在您自己的项目中。

链接GitHub - ufrisk/MemProcFS: MemProcFS

?下载下来以后直接使用

?发现有了一个M盘，翻了翻也看不太懂都有啥

?

?后来发现一个工具GitHub - cephurs/MemProcFS-Analyzer: MemProcFS-Analyzer - Automated Forensic Analysis of Windows Memory Dumps for DFIR

下载下来直接powershell：

以管理员身份启动 Windows PowerShell（或 Windows PowerShell ISE 或带 PSVersion 的 Visual Studio Code：5.1）并打开/运行 MemProcFS-Analyzer.ps1。

刚开始会运行不了，因为windows权限限制，参考https://blog.csdn.net/Ximerr/article/details/123498701

提示连不上网[Error] github.com is NOT reachable. Please check your network connection and try again.，使用代理：

?

运行起来了：

?弹框：直接点YES

?接下来就可以一顿分析啦