Volatility工具指令篇

Volatility入门指令篇: 

Volatility -f name imageinfo
volatility -f name pslist --profile=WinXPSP2x86   列举进程:
volatility -f name  --profile=WinXPSP2x86 volshell
dt("_PEB") 查看进程环境块
volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 :

?
hivedump打印出注册表中的数据 :

volatility -f name  --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址

?
显示每个进程的加载dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt

?
获取SAM表中的用户:

volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

?
登陆账户系统

volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

?
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等

volatility -f name --profile=WinXPSP2x86 userassist

?
将内存中的某个进程数据以 dmp 的格式保存出来 

volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

?
提取内存中保留的 cmd 命令使用情况

volatility -f name --profile=WinXPSP2x86 cmdscan

?
获取到当时的网络连接情况

volatility -f name --profile=WinXPSP2x86 netscan

?
获取 IE 浏览器的使用情况 :

volatility -f name --profile=WinXPSP2x86 iehistory

?
获取内存中的系统密码,可以使用 hashdump 将它提取出来

volatility -f name --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner

?
对文件查找及dumo提取某个进程:

volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./

?
HASH匹配用户账户名密码:

Hash, 然后使用john filename --format=NT破解

?
安全进程扫描

volatility -f name --profile=Win7SP1x64 psscan

?
Flag字符串扫描:

strings -e l 2616.dmp | grep flag

?
查找图片:

volatility -f name--profile=Win7SP1x64 filescan | grep -E ‘jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan

?
注册表解析

volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"

?
复制、剪切版:

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820

?
Dump所有进程:

volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .
利用字符串查找download
python vol.py -f name --profile=Win7SP1x86 shimcache

?
svcscan查看服务

python vol.py -f name --profile=Win7SP1x86 svcscan

?

modules 查看内核驱动
modscan、driverscan 可查看一些隐藏的内核驱动
ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间.

原文地址:https://blog.51cto.com/13352079/2434792

时间: 2024-08-02 22:17:43

Volatility工具指令篇的相关文章

Linux 指令篇:文件上传和下载 lrzsz

[ "lrzsz"一般用于SecureCRT ssh中使用 ] 简介:rz,sz是早期Linux/Unix同Windows进行ZModem文件传输的命令行工具.rz ,sz 是非常古老的zmodem协议使用的上传下载命令,早就被抛弃了的东西,目前的发行版基本都不再预装. 优点:比ftp命令方便,而且服务器不用打开FTP服务. 命令sz:将选定的文件发送(send)到本地机器 命令rz:运行该命令会弹出一个文件选择窗口,从本地选择文件上传到Linux服务器. lrzsz安装方法: [[e

Linux工具参考篇(网摘)

Linux工具参考篇 原文出处:[Linux Tools Quick Tutorial] 1. gdb 调试利器 2. ldd 查看程序依赖库 3. lsof 一切皆文件 4. ps 进程查看器 5. pstack 跟踪进程栈 6. strace 跟踪进程中的系统调用 7. ipcs 查询进程间通信状态 8. top linux下的任务管理器 9. free 查询可用内存 10. vmstat 监视内存使用情况 11. iostat 监视I/O子系统 12. sar 找出系统瓶颈的利器 13.

持续集成(二)工具搭建篇—内网邮件服务器搭建

在我们的持续构建中,项目构建中出现错误提醒,或者开发人员之间的沟通交流,进度汇报的事务,都是离不开一个通信工具,那就是邮件.在我们的项目开发中如果使用第三方的邮件平台,这肯定不是最好的选择,因为第三方的邮件需要外网的支持,但是外网又不是特别的可靠,假如外网链接出现了问题,这样就会不必要的延误我们的工期.再或者很多项目都是保密项目,在开发中只能用内网.但是不用邮件吧又不行.为了解决这个头疼的问题,我们的内网邮件服务器工具就出现了,只要用它安装在我们的服务器上,配置好账户,配置好客户端,在内网里就可

angularjs入门学习【指令篇】

一.首先我们来了解下指令API 属性 含义 restrict 申明标识符在模版中作为元素,属性,类,注释或组合,如何使用 priority 设置模版中相对于其他标识符的执行顺序 Template 指定一个字符串式的内嵌模版,如果你指定了模版是一个URL,那么是不会使用的 tempateUrl 指定URL加载的模版,如果你已经指定了内嵌的模版字符串,那么它不会使用的 Replace 如果为真,替换当前元素,如果是假或未指定,拼接到当前元素 Transclude 移动一个标识符的原始字节带你到一个新

Linux 指令篇:设定硬件时钟--hwclock

功能说明:显示与设定硬件时钟. 语 法:hwclock [--adjust][--debug][--directisa][--hctosys][--show][--systohc][--test] [--utc][--version][--set --date=<日期与时间>] 补充说明:在Linux中有硬件时钟与系统时钟等两种时钟.硬件时钟是指主机板上的时钟设备,也就是通常可在BIOS画面设定的时钟.系统时钟则是指kernel中的时钟.当Linux启动时,系统时钟会去读取硬件时钟的设定,之后

Linux 指令篇:文件或目录查找 --find

语 法:find    path    -option    [    -print ]    [ -exec    -ok    command ]    {} \; #-print                               将查找到的文件输出到标准输出 #-exec    command    {} \;       -----将查到的文件执行command操作,{} 和 \;之间有空格 #-ok 和-exec相同,                    只不过在操作前要询

Linux 指令篇:文档编辑--col

功能说明:过滤控制字符. 语 法:col [-bfx][-l<缓冲区列数>] 补充说明:在许多UNIX说明文件里,都有RLF控制字符.当我们运用shell特殊字符">"和">>",把说明文件的内容输出成纯文本文件时,控制字符会变成乱码,col指令则能有效滤除这些控制字符. 参 数:  -b   过滤掉所有的控制字符,包括RLF和HRLF.  -f   滤除RLF字符,但允许将HRLF字符呈现出来.  -x   以多个空格字符来表示跳格字

Android开源项目第二篇——工具库篇

本文为那些不错的Android开源项目第二篇——开发工具库篇,主要介绍常用的开发库,包括依赖注入框架.图片缓存.网络相关.数据库ORM建模.Android公共库.Android 高版本向低版本兼容.多媒体相关及其他. Android开源项目系列汇总已完成,包括: Android开源项目第一篇——个性化控件(View)篇 Android开源项目第二篇——工具库篇 Android开源项目第三篇——优秀项目篇 Android开源项目第四篇——开发及测试工具篇 Android开源项目第五篇——优秀个人和

打造程序员的高效生产力工具-mac篇

打造程序员的高效生产力工具-mac篇 1   概述 古语有云:“工欲善其事,必先利其器” [1] ,作为一个程序员,他最重要的生产资源是脑力知识,最重要的生产工具是什么?电脑. 在进行重要的脑力成果输出前,有必要先“利其器”,为自己打造一台专门为程序员而生的电脑生产平台.以保证自己高效地工作和产出. 本系统的主要适用群体为互联网行业的开发人员和环境配置指导,主要目的是让Mac成为程序员的重要的智力成果输出工具. 2   需求场景 3   开发环境 对于软件开发人员来说,基本上绝大多数的IDE都有