volatility 3 内存取证入门——如何从内存中寻找敏感数据

上面说的思路，我自己在本机验证下，首先，我在虚拟机里使用IE登录我的qq邮箱，如下：

我自己登录IE的进程是2052，虚拟机dump vmem文件以后，vol3下：

1	`python .\vol.py -f` `"D:\Virtual Machines\Windows 10 x64 1809\Windows 10 x64-b5976eea.vmem"` `windows.vadinfo --dump --pid 2052`

然后就看到了很多dmp文件，

-a----        2023-05-03     18:01       33554432 pid.2052.vad.0xe20000-0x2e1ffff.dmp
-a----        2023-05-03     18:01        1048576 pid.2052.vad.0xe2a0000-0xe39ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4a0000-0xe4bffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4c0000-0xe4dffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe4e0000-0xe4fffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe500000-0xe51ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe520000-0xe53ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe540000-0xe55ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe560000-0xe57ffff.dmp
-a----        2023-05-03     18:01         131072 pid.2052.vad.0xe580000-0xe59ffff.dmp

针对这些dmp文件，搜索：strings *|findstr 76194688 寻找我qq号相关的敏感数据：

看到的截图如下：

D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xd350000-0xdb4ffff.dmp: /web/verify/iframe?uin=76194688@qq.com&pt_sms_phone=186******49&appid=716027609&pt_3rd_aid=102013353&verify_theme=&feedback_link=https://support.qq.com/products/77942?customInfo=.appid102013353
D:\Application\volatility3-stable\ie2052\pid.2052.vad.0xe4c0000-0xe4dffff.dmp: 76194688
FINDSTR: 行 1475935 太长。
FINDSTR: 行 1476308 太长。