Volatility 3: пошаговый DFIR-workflow от снятия дампа до IoC — для fileless-атак и инъекций, которые дисковая форензика не видит.Cobalt Strike beacon в RWX-регионе легитимного svchost.exe, reflective DLL injection, расшифрованный payload в памяти — ни одного...
Анализ дампов памяти Volatility 3: практический workflow обнаружения малвари и инъекций
Источник: codeby.net