volatility计算公式,volatility使用教程

  volatility计算公式,volatility使用教程

  Volatility入门指令篇:Volatility-f name imageinfovolatility-f name PS list-profile=win xpsp 2 x 86列举进程:volatility-f name-profile=win xpsp 2 x 86 volsheldt( _ PEB )查看进程环境块volatility-f name-profile=win xpsp 2 x 86 hi velist列举缓存在内存的注册表: hivedump打印出注册表中的数据 :

  volatility-f name-profile=win xpsp 2 x 86 hive dump-o注册表的虚拟的地址显示每个进程的加载dll列表

  volatility-f name-profile=win 7 sp0x 86 dlllist dll list。txt获取SAM表中的用户:

  volatility-f name-profile=win xpsp 2 x 86 print key-K SAM \ Domains \ Account \ Users \ Names 登陆账户系统

  volatility-f name-profile=win xpsp 2 x 86 print key-K 软件\ Microsoft \ Windows NT \当前版本\ Winlogon userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等

  volatility-f name-profile=win xpsp 2 x 86用户助手将内存中的某个进程数据以 dmp 的格式保存出来

  volatility-f name-profile=win xpsp 2 x 86-p[PID]-D[dump出的文件保存的目录] 提取内存中保留的 cmd 命令使用情况

  volatility-f name-profile=win xpsp 2 x 86 cmdscan获取到当时的网络连接情况

  volatility-f name-profile=win xpsp 2 x 86 netscan

  获取工业管理学(工业工程)浏览器的使用情况:

  volatility-f name-profile=win xpsp 2 x 86 ie history获取内存中的系统密码,可以使用 hashdump 将它提取出来

  volatility-f name-profile=win xpsp 2 x 86哈希转储-y(注册表系统的虚拟的地址(山姆的虚拟的地址)volatility-f name-profile=win xpsp 2 x 86 hash dump-y0xe 1035 b 60-s0xe 16 aab 60 volatility-f name-profile=win xpsp 2 x 86 timeliner对文件查找及dumo提取某个进程:

  volatility-f name-profile=win 7 sp 1 x 64 memdump-D .-p 2872 strings-e l ./2872。DMP grep flag volatility-f name-profile=win 7 sp 1 x 64转储文件-Q0x 00000007 e 410890-n-dump-dir=./HASH匹配用户账户名密码:

  哈希,然后使用约翰文件名-格式=NT破解安全进程扫描

  volatility-f name-profile=win 7 sp 1 x 64 PS扫描Flag字符串扫描:

  字符串-e l 2616.dmp grep标志查找图片:

  volatility-f name-profile=win 7 sp 1 x 64文件can grep-E jpg png JPEG BMP gif volatility-f name-profile=win 7 sp 1 x 64 netscan注册表解析

  volatility-f name-profile=win 7 sp 1 x 64 hivelistvolatility-f name-profile=win 7 sp 1 x 64-o0x fffff 8 a 000024010 print key-K controlset 001 \ Control;复制、剪切版:

  volatility-f name-profile=win 7 sp 1x 64剪贴板volatility-f name-profile=win 7 sp 1 x 64 dlllist-p 3820Dump所有进程:

  volatility-f name-profile=win 7 sp 1x 64 memdump-n chrome-D .利用字符串查找下载python vol . py-f name-profile=win 7 sp 1x 86 shim cachesvcscan查看服务

  python vol . py-f name-profile=win 7 sp 1 x 86 svcscan

  模块查看内核驱动modscan、driverscan可查看一些隐藏的内核驱动希姆躲藏来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后"执行"时间。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: