Volatility常用基本命令
Volatility -f winxp.raw imageinfo
#查詢映象基本資訊
Volatility -f winxp.raw --profile=WinXPSP3x86 pstree
#查執行程序程序樹
Volatility -f winxp.raw --profile=WinXPSP3x86 pslist
#查正在執行的程序
Volatility -f winxp.raw --profile=WinXPSP3x86 memdump -p 324--dump dir=/home/lyshark
#將PID=324的程序dump出來
Volatility -f winxp.raw --profile=WinXPSP3x86 procdump -p 324--dump-dir=/home/lyshark
#將PID=324程序匯出為exe
volatility -f winxp.raw --profile=WinXPSP3x86 dlldump -p 324 --dump-dir=/home/lyshark
#將PID=324程序所有dll匯出
volatility -f winxp.raw --profile=WinXPSP3x86 getsids -p 324
#查詢指定程序的SID
volatility -f winxp.raw --profile=WinXPSP3x86 dlllist-p 324
#查詢指定程序載入過的DLL
volatility -f winxp.raw --profile=WinXPSP3x86 threads -p 324
#列出當前程序中活躍的執行緒
volatility -f winxp.raw --profile=WinXPSP3x86 drivermodule
#列出目標中驅動載入情況
volatility -f winxp.raw --profile=WinXPSP3x86 malfind -p 324 -D /home/lyshark
#檢索記憶體讀寫執行頁
volatility -f winxp.raw --profile=WinXPSP3x86 iehistory
#檢索IE瀏覽器歷史記錄
volatility -f winxp.raw --profile=WinXPSP3x86 joblinks
#檢索計劃任務
volatility -f winxp.raw --profile=WinXPSP3x86 cmdscan
#只能檢索命令列歷史
volatility -f winxp.raw --profile=WinXPSP3x86 consoles
#抓取控制檯下執行的命令以及回顯資料
volatility -f winxp.raw --profile=WinXPSP3x86 cmdline
#列出所有命令列下執行的程式
volatility -f winxp.raw --profile=WinXPSP3x86 connscan
#檢索已經建立的網路連結
volatility -f winxp.raw --profile=WinXPSP3x86 connections
#檢索已經建立的網路連結
volatility -f winxp.raw --profile=WinXPSP3x86 netscan
#檢索所有網路連線情況
volatility -f winxp.raw --profile=WinXPSP3x86 sockscan
#TrueCrypt摘要TrueCrypt摘要
volatility -f winxp.raw --profile=WinXPSP3x86 timeliner
#儘可能多的發現目標主機痕跡
volatility -f winxp.raw --profile=WinXPSP3x86 hivelist
#檢索所有登錄檔蜂巢
volatility -f winxp.raw --profile=WinXPSP3x86 hivedump -o 0xe144f758
#檢索SAM登錄檔鍵值對
volatility -f winxp.raw --profile=WinXPSP3x86 printkey-K "SAM\Domain\Account\Users\Name"
#檢索登錄檔中的賬號密碼
volatility -f winxp.raw --profile=WinXPSP3x86 hashdump -y system地址 -s SAM地址
#dump目標賬號Hash值
volatility -f winxp.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin"
#檢索最後登入的使用者
volatility -f winxp.raw--profile=WinXPSP3x86 userassist
#查詢程式執行次數
作者:51cha0 出處:http://www.cnblogs.com/51cha0/-------------------------------------------
個性簽名:祈禱奇蹟其實不如無盡的練習
如果覺得這篇文章對你有小小的幫助的話,記得在右下角點個“推薦”哦,博主在此感謝!
萬水千山總是情,打賞一分行不行,所以如果你心情還比較高興,也是可以掃碼打賞博主,哈哈哈(っ•̀ω•́)っ✎⁾⁾!