La volatilidad sugiere dos perfiles para el volcado de memoria de XP. ¿Cuál debo usar para una mayor investigación? Soy un principiante por la volatilidad.
¡Deberías probar los dos!
Si las direcciones de memoria y los PID aparecen con signos de interrogación a su alrededor, probablemente debería cambiar al otro perfil.
El problema es que la volatilidad puede reconocer que se trata de una versión de Windows XP determinada, pero las propiedades identificables de estas versiones de 2 XP se superponen y hacen que sean más difíciles de distinguir.
Al ejecutar complementos como connscan o proclist , los resultados pueden ser un poco oscuros cuando se usa el perfil incorrecto, porque las ubicaciones reales en la memoria de estos objetos pueden diferir entre las versiones de XP.
Te darás cuenta bastante rápido si estás utilizando el perfil incorrecto.
Lea otras preguntas en las etiquetas memory volatility