Форензика: лучший toolkit для memory dump в 2026? Volatility 3 разочаровал

[gleb_flux33]

Разбираю инцидент, нужен анализ дампа памяти Windows 11. Volatility 3 вроде официальный, но профилей нет, половина плагинов которые были в v2 куда-то делись. Я одна туплю или v3 правда сырая для свежих сборок?

[nina_real]

Vol3 перешёл на символы (ISF) вместо профилей, для свежих сборок Win11 24H2 иногда символов нет и приходится генерить самому через dwarf2json. Это главная боль. Зато скорость и работа с современными ядрами лучше чем в v2.

[kira_api82]

Для Win11 я часто беру MemProcFS — монтирует дамп как файловую систему, очень наглядно для триажа, и тащит процессы/реестр на лету. Volatility оставляю для глубокого ковыряния конкретного плагина.

[ruslan_pro]

MemProcFS не пробовала, звучит как то что надо для быстрого триажа. А чем дамп снимать рекомендуете, чтобы потом символы не плясали?

[opsops3377]

WinPMEM или Magnet RAM Capture. Главное фиксируй точную версию ОС и сборку ntoskrnl.exe сразу при снятии, иначе потом будешь страдать с подбором символов. И всегда считай хеш дампа для цепочки доказательств.

[bitbyte5371]

И ещё: если это CTF-форензика а не реальный инцидент, часто хватает strings + bulk_extractor + grep по дампу, люди переусложняют с Volatility там где флаг просто лежит в открытую))

[vera_lab]

Спасибо всем, поставила MemProcFS, нашла подозрительный процесс за пять минут, в воле бы час сидела. Тему можно закрывать.

[artem_kernel93]

Volatility 3 на Windows 11 22H2+ реально болезненный — проблема в том, что для v3 нужны symbol tables (.json.xz), которые генерятся из PDB через dwarf2json или скачиваются с публичного сервера символов Microsoft. Для свежих билдов Windows 11 эти таблицы могут просто не быть в кеше vol.py symbols. Решение: качаешь нужный ntoskrnl.exe из дампа, скармливаешь его в pdbconv.py — получаешь ISF-файл и кладёшь в volatility3/symbols/windows/. После этого windows.pslist и windows.netscan начинают работать нормально.

[semyon_null56]

Если Volatility3 не заходит — посмотри на MemProcFS (он же LeechCore). В 2025-2026 это реально лучший инструмент для Windows-форензики: монтирует дамп как файловую систему, процессы видны как директории, реестр читается напрямую. Плюс интегрируется с Volatility3 как плагин. На Windows 11 23H2 у меня он завёлся с первого раза там, где vol3 ругался на символы.

[rustvector7127]

Для быстрой сортировки подозрительных процессов из дампа прежде чем копаться глубже — попробуй Rekall, точнее его наследника. Хотя Rekall официально заморожен, комьюнити форки под Windows 11 есть. Или просто strings + grep по дампу для быстрой разведки пока чинишь symbol tables в Volatility.