Go语言因其生成静态链接、跨平台的可执行文件而日益受到恶意软件开发者的青睐，但这类二进制文件给传统分析技术带来了挑战。Go可执行文件嵌入了庞大的运行时和编译器生成的元数据，并采用激进优化，丢弃了函数参数和局部变量的类型信息。Go的设计进一步复杂化分析：字符串以指针-长度对表示而非空终止序列，使用调用者分配栈模型模糊参数边界，且程序状态分散于并发goroutine中。现有的静态分析和逆向工程工具虽提供针对Go的支持，但仅限于编译时产物，无法恢复仅存于内存的运行时执行状态和工件。为弥补这一空白，本文提出了首个面向Go二进制文件运行时分析的内存取证框架。通过解析Go内部结构，该框架重建类型和函数元数据，恢复堆分配和静态字符串，并区分应用程序级函数。通过ABI感知的逆向分析，从调用点推导执行路径和参数值。为捕获静态分析无法揭示的运行时状态，它分析goroutine栈以识别正在执行的函数并恢复其运行时参数值。所有能力已实现为Volatility 3插件，并针对近期事件中的恶意软件（如BRICKSTORM后门、Obscura勒索软件、Pantegana RAT）以及开源样本进行了评估。框架成功恢复了C2端点、持久化机制、加密密钥、勒索信和执行状态，包括公开威胁情报中缺失的关键运行时工件。

该论文提出了一种从网络攻击内存镜像中预测恶意软件能力的新方法。研究背景在于，传统恶意软件分析通常需要动态执行或静态反编译，而内存镜像中包含了恶意软件执行时的完整状态，但直接从中提取高级语义能力（如持久化、逃避检测、横向移动等）较为困难。作者设计了一个基于机器学习的框架，首先从内存镜像中提取底层特征（如API调用序列、内存操作模式、注册表修改等），然后通过特征工程和分类模型将这些特征映射到恶意软件的高阶能力标签（如C2通信、数据窃取、权限提升等）。实验使用了大量真实恶意软件样本和模拟攻击生成的内存镜像数据集，验证了模型能够以较高的准确率（>85%）预测恶意软件的能力类别。该方法有助于安全分析师在无需运行样本的情况下快速评估恶意软件的威胁等级，提升应急响应效率。主要贡献包括：1）定义了从内存镜像到恶意软件能力的映射框架；2）公开了标注数据集；3）实验证明了预测的有效性。

该论文提出了一种操作系统无关的内存取证方法，以解决现有取证工具因依赖特定操作系统的内核数据结构模型而无法推广到多种系统（如IoT设备、智能家居、云虚拟机）的问题。作者引入“OS无关内存取证”概念，通过利用数据结构的拓扑约束（如指针关系、大小等），自动识别内存中的不同数据结构类型，而无需了解底层操作系统的内部细节。方法支持两种操作模式：第一种基于预置种子（如已知的进程名或IP地址），从种子出发遍历恢复相关取证信息（如进程列表、网络连接等），实验表明即使单个种子也能从14种不同OS的内存转储中恢复主要数据结构；第二种模式无需种子，通过启发式算法对内存中的数据结构进行排序，优先呈现最可能包含取证信息的结构。论文在14个不同操作系统上验证了方法的有效性，证明其能自动识别取证相关的结构化信息，显著降低了对手动建模和逆向工程的依赖。该研究为内存取证领域提供了一种可扩展、跨平台的解决方案，尤其适用于新兴操作系统和封闭源码系统。