Volatility工具指令篇

Volatility入門指令篇：

Volatility -f name imageinfo
volatility -f name pslist --profile=WinXPSP2x86   列舉進程：
volatility -f name  --profile=WinXPSP2x86 volshell
dt("_PEB") 查看進程環境塊
volatility -f name --profile=WinXPSP2x86 hivelist列舉緩存在內存的註冊表 ：

 
hivedump打印出註冊表中的數據 ：

volatility -f name  --profile=WinXPSP2x86 hivedump -o 註冊表的 virtual 地址

 
顯示每一個進程的加載dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt

 
獲取SAM表中的用戶：

volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

 
登錄帳戶系統

volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

 
userassist鍵值包含系統或桌面執行文件的信息，如名稱、路徑、執行次數、最後一次執行時間等

volatility -f name --profile=WinXPSP2x86 userassist

 
將內存中的某個進程數據以 dmp 的格式保存出來

volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目錄]

 
提取內存中保留的 cmd 命令使用狀況

volatility -f name --profile=WinXPSP2x86 cmdscan

 
獲取到當時的網絡鏈接狀況

volatility -f name --profile=WinXPSP2x86 netscan

 
獲取 IE 瀏覽器的使用狀況 ：

volatility -f name --profile=WinXPSP2x86 iehistory

 
獲取內存中的系統密碼，能夠使用 hashdump 將它提取出來

volatility -f name --profile=WinXPSP2x86 hashdump -y （註冊表 system 的 virtual 地址 ）-s （SAM 的 virtual 地址）
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner

 
對文件查找及dumo提取某個進程：

volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./

 
HASH匹配用戶帳戶名密碼：

Hash, 而後使用john filename --format=NT破解

 
安全進程掃描

volatility -f name --profile=Win7SP1x64 psscan

 
Flag字符串掃描：

strings -e l 2616.dmp | grep flag

 
查找圖片：

volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan

 
註冊表解析

volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"

 
複製、剪切版：

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820

 
Dump全部進程：

volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .
利用字符串查找download
python vol.py -f name --profile=Win7SP1x86 shimcache

 
svcscan查看服務

python vol.py -f name --profile=Win7SP1x86 svcscan

 

modules 查看內核驅動
modscan、driverscan 可查看一些隱藏的內核驅動
ShimCache來識別應用程序兼容性問題。跟蹤文件路徑，大小，最後修改時間和最後「執行」時間.