address space voting rounds 找magic word 讀到可讀的格式
記憶體分類
Raw Memory Dump
Windows Crash Dump
如果要dump出來,volatility可讀的格式
http://blogs.technet.com/b/askperf/archive/2008/01/08/understanding-crash-dump-files.aspx
Windows Hibernation File
Expert Witness Format
Encase 最常用的format
HPAK
虛擬機記憶體 Virtual Machine Memory
VMware
暫停、snapshot 會產生.vmx 可以用
single.vmem file (the raw schema). In other cases, instead of a .vmem, you’ll get a .vmsn (snapshots) or .vmss (saved state)
VirtualBox
不會存完整的記憶體狀態,要用指令輸出才有
vboxmanage debugvm
QEMU
Hyper-v
snapshot或是suspend產生 .bin (physical memory chunks) & .vsv (metadata)
volatility 不支援要用vm2dmp.exe 轉換