Volatility.exeは、XPメモリダンプの2つのプロファイルを提案します。どちらを使用する必要がありますか?
ボラティリティは、XPメモリダンプの2つのプロファイルを示唆しています。さらに調査するためにどちらを使用する必要がありますか?私はボラティリティの初心者です。
両方試してみてください!
メモリアドレスとPIDが疑問符で囲まれている場合は、おそらく他のプロファイルに切り替える必要があります。
問題は、ボラティリティが特定のWindows XPリリースであることを認識できることですが、これら2 XPバージョンは重複しており、区別が難しくなっています。
connscanやproclistなどのプラグインを実行する場合、これらのオブジェクトのメモリ内の実際の場所がXPバージョン。
間違ったプロファイルを使用していると、すぐに気付くでしょう。