Volatility入門指令篇：

Volatility -f name imageinfo
volatility -f name pslist --profile=WinXPSP2x86   列舉進(jìn)程：
volatility -f name  --profile=WinXPSP2x86 volshell
dt("_PEB") 查看進(jìn)程環(huán)境塊
volatility -f name --profile=WinXPSP2x86 hivelist列舉緩存在內(nèi)存的注冊(cè)表 ：

?
hivedump打印出注冊(cè)表中的數(shù)據(jù) ：

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比高密網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式高密網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋高密地區(qū)。費(fèi)用合理售后完善，10余年實(shí)體公司更值得信賴。

volatility -f name  --profile=WinXPSP2x86 hivedump -o 注冊(cè)表的 virtual 地址

?
顯示每個(gè)進(jìn)程的加載dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt

?
獲取SAM表中的用戶：

volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

?
登陸賬戶系統(tǒng)

volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

?
userassist鍵值包含系統(tǒng)或桌面執(zhí)行文件的信息，如名稱、路徑、執(zhí)行次數(shù)、最后一次執(zhí)行時(shí)間等

volatility -f name --profile=WinXPSP2x86 userassist

?
將內(nèi)存中的某個(gè)進(jìn)程數(shù)據(jù)以 dmp 的格式保存出來(lái)

volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目錄](méi)

?
提取內(nèi)存中保留的 cmd 命令使用情況

volatility -f name --profile=WinXPSP2x86 cmdscan

?
獲取到當(dāng)時(shí)的網(wǎng)絡(luò)連接情況

volatility -f name --profile=WinXPSP2x86 netscan

?
獲取 IE 瀏覽器的使用情況 ：

volatility -f name --profile=WinXPSP2x86 iehistory

?
獲取內(nèi)存中的系統(tǒng)密碼，可以使用 hashdump 將它提取出來(lái)

volatility -f name --profile=WinXPSP2x86 hashdump -y （注冊(cè)表 system 的 virtual 地址 ）-s （SAM 的 virtual 地址）
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner

?
對(duì)文件查找及dumo提取某個(gè)進(jìn)程：

volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./

?
HASH匹配用戶賬戶名密碼：

Hash, 然后使用john filename --format=NT破解

?
安全進(jìn)程掃描

volatility -f name --profile=Win7SP1x64 psscan

?
Flag字符串掃描：

strings -e l 2616.dmp | grep flag

?
查找圖片：

volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan

?
注冊(cè)表解析

volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"

?
復(fù)制、剪切版：

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820

?
Dump所有進(jìn)程：

volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .
利用字符串查找download
python vol.py -f name --profile=Win7SP1x86 shimcache

?
svcscan查看服務(wù)

python vol.py -f name --profile=Win7SP1x86 svcscan

?

modules 查看內(nèi)核驅(qū)動(dòng)
modscan、driverscan 可查看一些隱藏的內(nèi)核驅(qū)動(dòng)
ShimCache來(lái)識(shí)別應(yīng)用程序兼容性問(wèn)題。跟蹤文件路徑，大小，最后修改時(shí)間和最后“執(zhí)行”時(shí)間.

網(wǎng)頁(yè)標(biāo)題：Volatility工具指令篇
網(wǎng)站鏈接：http://www.chinadenli.net/article30/iphgpo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、外貿(mào)建站、搜索引擎優(yōu)化、標(biāo)簽優(yōu)化、服務(wù)器托管、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)