Volatility入门指令篇：

Volatility -f name imageinfo
volatility -f name pslist --profile=WinXPSP2x86   列举进程：
volatility -f name  --profile=WinXPSP2x86 volshell
dt("_PEB") 查看进程环境块
volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 ：

 
hivedump打印出注册表中的数据 ：

成都创新互联公司-专业网站定制、快速模板网站建设、高性价比高密网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式高密网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖高密地区。费用合理售后完善，10余年实体公司更值得信赖。

volatility -f name  --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址

 
显示每个进程的加载dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt

 
获取SAM表中的用户：

volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

 
登陆账户系统

volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

 
userassist键值包含系统或桌面执行文件的信息，如名称、路径、执行次数、最后一次执行时间等

volatility -f name --profile=WinXPSP2x86 userassist

 
将内存中的某个进程数据以 dmp 的格式保存出来

volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

 
提取内存中保留的 cmd 命令使用情况

volatility -f name --profile=WinXPSP2x86 cmdscan

 
获取到当时的网络连接情况

volatility -f name --profile=WinXPSP2x86 netscan

 
获取 IE 浏览器的使用情况 ：

volatility -f name --profile=WinXPSP2x86 iehistory

 
获取内存中的系统密码，可以使用 hashdump 将它提取出来

volatility -f name --profile=WinXPSP2x86 hashdump -y （注册表 system 的 virtual 地址 ）-s （SAM 的 virtual 地址）
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner

 
对文件查找及dumo提取某个进程：

volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./

 
HASH匹配用户账户名密码：

Hash, 然后使用john filename --format=NT破解

 
安全进程扫描

volatility -f name --profile=Win7SP1x64 psscan

 
Flag字符串扫描：

strings -e l 2616.dmp | grep flag

 
查找图片：

volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan

 
注册表解析

volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"

 
复制、剪切版：

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820

 
Dump所有进程：

volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .
利用字符串查找download
python vol.py -f name --profile=Win7SP1x86 shimcache

 
svcscan查看服务

python vol.py -f name --profile=Win7SP1x86 svcscan

 

modules 查看内核驱动
modscan、driverscan 可查看一些隐藏的内核驱动
ShimCache来识别应用程序兼容性问题。跟踪文件路径，大小，最后修改时间和最后“执行”时间.

新闻标题：Volatility工具指令篇
当前URL：http://www.scyingshan.cn/article/iphgpo.html