volatility计算公式,volatility使用教程
Volatility入门指令篇:Volatility-f name imageinfovolatility-f name PS list-profile=win xpsp 2 x 86列举进程:volatility-f name-profile=win xpsp 2 x 86 volsheldt( _ PEB )查看进程环境块volatility-f name-profile=win xpsp 2 x 86 hi velist列举缓存在内存的注册表: hivedump打印出注册表中的数据 :
volatility-f name-profile=win xpsp 2 x 86 hive dump-o注册表的虚拟的地址显示每个进程的加载dll列表
volatility-f name-profile=win 7 sp0x 86 dlllist dll list。txt获取SAM表中的用户:
volatility-f name-profile=win xpsp 2 x 86 print key-K SAM \ Domains \ Account \ Users \ Names 登陆账户系统
volatility-f name-profile=win xpsp 2 x 86 print key-K 软件\ Microsoft \ Windows NT \当前版本\ Winlogon userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
volatility-f name-profile=win xpsp 2 x 86用户助手将内存中的某个进程数据以 dmp 的格式保存出来
volatility-f name-profile=win xpsp 2 x 86-p[PID]-D[dump出的文件保存的目录] 提取内存中保留的 cmd 命令使用情况
volatility-f name-profile=win xpsp 2 x 86 cmdscan获取到当时的网络连接情况
volatility-f name-profile=win xpsp 2 x 86 netscan
获取工业管理学(工业工程)浏览器的使用情况:
volatility-f name-profile=win xpsp 2 x 86 ie history获取内存中的系统密码,可以使用 hashdump 将它提取出来
volatility-f name-profile=win xpsp 2 x 86哈希转储-y(注册表系统的虚拟的地址(山姆的虚拟的地址)volatility-f name-profile=win xpsp 2 x 86 hash dump-y0xe 1035 b 60-s0xe 16 aab 60 volatility-f name-profile=win xpsp 2 x 86 timeliner对文件查找及dumo提取某个进程:
volatility-f name-profile=win 7 sp 1 x 64 memdump-D .-p 2872 strings-e l ./2872。DMP grep flag volatility-f name-profile=win 7 sp 1 x 64转储文件-Q0x 00000007 e 410890-n-dump-dir=./HASH匹配用户账户名密码:
哈希,然后使用约翰文件名-格式=NT破解安全进程扫描
volatility-f name-profile=win 7 sp 1 x 64 PS扫描Flag字符串扫描:
字符串-e l 2616.dmp grep标志查找图片:
volatility-f name-profile=win 7 sp 1 x 64文件can grep-E jpg png JPEG BMP gif volatility-f name-profile=win 7 sp 1 x 64 netscan注册表解析
volatility-f name-profile=win 7 sp 1 x 64 hivelistvolatility-f name-profile=win 7 sp 1 x 64-o0x fffff 8 a 000024010 print key-K controlset 001 \ Control;复制、剪切版:
volatility-f name-profile=win 7 sp 1x 64剪贴板volatility-f name-profile=win 7 sp 1 x 64 dlllist-p 3820Dump所有进程:
volatility-f name-profile=win 7 sp 1x 64 memdump-n chrome-D .利用字符串查找下载python vol . py-f name-profile=win 7 sp 1x 86 shim cachesvcscan查看服务
python vol . py-f name-profile=win 7 sp 1 x 86 svcscan
模块查看内核驱动modscan、driverscan可查看一些隐藏的内核驱动希姆躲藏来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后"执行"时间。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。