为了准备校赛，准备了一个内存取证的题目，既然是校赛的，肯定不能搞简单的win7了，试了下win10，如果要原汁取证好像没什么能搞的（指不上那些cs马之类的，cmd好像也读不到，搞了也麻烦，这种不如拿去投题），就简单尝试linux。就简单记录一下。

1、确定版本

Linux version 4.15.0-20-generic (buildd@lgw01-amd64-039) (gcc version 7.3.0 (Ubuntu 7.3.0-16ubuntu3)) 
#21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 (Ubuntu 4.15.0-20.21-generic 4.15.17)

2、开始出题

内存为易失性储存设备，电子设备在断电后的短时间内，内存中就会丢失数据，从而失去分析价值；但是随着技术的进步，只要在设备断电后快速将内存卸下，并接入专用设备，也可以从残留的数据中提取证据。更何况大部分情况下，取证人员可以直接在现场，保持设备通电开机的情况下，直接对目标设备的内存进行取证工作，从而给完整提取目标设备的内存数据提供了机会。 不同于直接对硬盘、手机、储存卡等设备进行取证，内存取证由于其为设备的内存数据，其天生就为电子取证的重要一点：因为设备在运行中，凡是涉及到数据的解析，在内存中大多都是以中间态或最后的明文态而存在；而在硬盘等设备中，数据可以进行加密，进行混淆，就大大增加了分析难度。故在电子取证中，内存取证往往为最为重要的一环。 对于比赛中所接触到的内存取证，选手大多拿到的都是已经提取好的内存镜像文件，也就是内存数据的原始完整拷贝，这已经从开局就大大简化了内存取证的难度。而选手接下来所要面对的，就是对内存数据进行解析。对于内存数据，最为常用的工具便是 Volatility Framework ，其为 Volatility Foundation 所开发的一款对内存取证分析提供支持的框架，对多平台电子设备的内存数据均提供了支持，并且也支持加载第三方模块来增加功能

./avml xxx.dmp