苹果内存取证工具volafox

大学霸__IT达人

volafox是一款针对苹果内存取证的专用工具。该工具使用Python语言编写。该工具内置了overlay data数据，用户可以直接分析苹果10.6-10.11的各种内存镜像文件。该工具提供28个子命令，用来完成各种功能，如获取挂载的文件系统、任务列表、系统调用表、EFI系统表、主机名、网络Socket列表、进程列表等。同时，该工具提供几种子命令，用于检查内存中是否存在恶意程序。