内存取证 volatility 镜像基本信息（得到profile）： volatility -f mem.data imageinfo 搜索进程、导出内存块： volatility -f mem.data --profile=XXX pslist volatility -f mem.data --profile=XXX memdump -p 276…