1/3
2/3
3/3
内存取证不用愁!LovelyMem 可视化工具,小白也能轻松上手
Kali与编程
2025年08月07日 13:12
收录于文集
共131篇

0x01 工具简介

LovelyMem是由Tokeii0师傅开发的一款基于  的快捷内存取证工具。LovelyMem 提供了更快的取证速度和更便捷的功能:

  • 工具集成:集成了 MemProcFSVolatility2Volatility3 等多种内存取证工具。

  • 快速检查:提供常用取证功能的快速访问。

  • 任务编排:可以创建和执行自定义的取证任务流程。

  • 报告编辑器:方便生成和编辑取证报告。

  • AI助手:提供AI辅助分析功能。

  • 配置设置:通过图形界面轻松配置工具路径、LLM设置和代理设置。

最后敲重点:LovelyMem一开始是收费,建议收藏备用。

0x02 工具使用

具体准备

根据  文件夹下的  自助配置以下内容,或者直接在软件中通过 "高级功能" 下的 "设置" 按钮进行图形化配置。

tools:   memprocfs:     path: "../Tools/MemProcFS/MemProcFS.exe"   volatility2:     path: "../Tools/volatility2/vol.exe"   volatility2_python:     path: "../Tools/volatility2_python/vol.py"   volatility3:     path: "../Tools/volatility3/vol.py"   volatility3_symbols:     path: "../Tools/volatility3/symbols"   lovelypixelweaver:     path: "../Tools/lovelypixelweaver/bin/lovelypixelweaver-console-2.10.exe"   volatility2_plugin:     path: "../Tools/volatility2_plugin" base_tools:   python310:     path: "../Tools/python3/python.exe"   python27:     path: "../Tools/python27/python27.exe"    strings:     path: "../Tools/other/strings.exe" other_tools:   RegistryExplorer:     path: "../Tools/RegistryExplorer/RegistryExplorer.exe"   EvtxECmd:     path: "../Tools/EvtxECmd/EvtxECmd.exe"

配置好相关内容后,运行:

python launcher.py

插件开发

下面是一个解压文件的插件示例,其他插件示例可参考  文件夹。

importzipfile importos # 插件信息字典,包含插件的基本信息 plugin_info= {     "title": "解压文件",  # 插件标题     "description": "解压ZIP、RAR等压缩文件",  # 插件描述     "usage": "选择一个压缩文件,然后点击此插件",  # 使用说明     "category": "文件操作"  # 插件类别 } defrun(file_path):     """     插件的主要执行函数          参数:     file_path (str): 要处理的文件的路径          返回:     None     """     # 检查文件是否存在     ifnotos.path.exists(file_path):         print(f"错误: 文件 {file_path} 不存在")         return     # 获取文件扩展名     _, file_extension=os.path.splitext(file_path)          # 根据文件扩展名选择相应的解压方法     iffile_extension.lower() =='.zip':         extract_zip(file_path)     else:         print(f"不支持的文件类型: {file_extension}") defextract_zip(file_path):     """     解压ZIP文件          参数:     file_path (str): ZIP文件的路径,即文件槽内文件路径          返回:     None     """     try:         # 创建输出目录         output_dir=os.path.join('output', 'extracted_files')         os.makedirs(output_dir, exist_ok=True)                  # 解压文件         withzipfile.ZipFile(file_path, 'r') aszip_ref:             zip_ref.extractall(output_dir)                  print(f"文件已成功解压到: {output_dir}")                  # 列出解压后的文件         print("解压的文件列表:")         forroot, dirs, filesinos.walk(output_dir):             forfileinfiles:                 print(os.path.join(root, file))          exceptzipfile.BadZipFile:         print("错误: 无效的ZIP文件")     exceptExceptionase:         print(f"解压过程中发生错误: {str(e)}") # 注意: 如果需要支持其他类型的压缩文件(如RAR), # 可以添加相应的解压函数并在run()中调用

0x03 工具获取

夸克网盘「LovelyMem」

https://pan.quark.cn/s/1522e08c15aa