Volatility.exe为XP内存转储提供了两个配置文件。我应该用哪一种？

Question

波动性为XP内存转储提供了两个概要文件。我应该用哪一个做进一步的调查？我是一个波动的初学者。

Answer 1

你应该两者都试试！

如果内存地址和PID在它们周围出现问号，您可能应该切换到另一个配置文件。

问题是，波动性可以认识到它是一个特定的Windows版本，但是这两个XP版本的可识别属性重叠，使得它们更难区分。

在执行插件(如connscan或proclist )时，如果使用错误的配置文件，结果可能会有点模糊，因为这些对象在内存中的实际位置在XP版本之间可能有所不同。

如果你使用错误的配置文件，你会很快注意到的。