La volatilità suggerisce due profili per il dump della memoria XP. Quale dovrei usare per ulteriori indagini? Sono un principiante per la volatilità.
Dovresti provare entrambi!
Se gli indirizzi di memoria e i PID appaiono con punti interrogativi intorno a loro, dovresti probabilmente passare all'altro profilo.
Il problema è che la volatilità può riconoscere che si tratta di una certa versione di Windows XP, ma le proprietà identificabili di queste 2 versioni di XP si sovrappongono e rendono più difficile distinguerle.
Quando si eseguono plugin come connscan o proclist , i risultati potrebbero essere un po 'oscuri quando si utilizza il profilo sbagliato, perché le posizioni effettive in memoria di questi oggetti potrebbero differire tra le versioni XP.
Noterai molto velocemente se utilizzi il profilo sbagliato.
Leggi altre domande sui tag memory volatility