volatility工具
一、查看系统版本信息,通过使用imageinfo插件
volatility -f cridex.vmem imageinfo #cridex.vmem系统名
二、根据建议,指定文件,识别进程
pslist:
volatility --profile=WinXPSP3x86 -f cridex.vmem pslist # 显示所有正在运行的进程
pstree:
volatility --profile=WinXPSP3x86 -f cridex.vmem pstree
# 显示所有正在运行的进程,识别子进程和父进程
psscan:
volatility --profile=WinXPSP3x86 -f cridex.vmem psscan
# 显示被隐藏进程
三、识别网络服务
volatility --profile=WinXPSP3x86 -f cridex.vmem connections
# 分析识别活跃的连接及端口和进程
volatility --profile=WinXPSP3x86 -f cridex.vmem connscan
# 分析识别终止的连接及端口
volatility --profile=WinXPSP3x86 -f cridex.vmem sockets
# 显示额外的链接信息
四、分析DLL
volatility --profile=WinXPSP3x86 -f cridex.vmem verinfo
# 显示PE文件版本信息
volatility --profile=WinXPSP3x86 -f cridex.vmem dlllist
# 显示所有正在运行的dll
五、分析注册表
volatility --profile=WinXPSP3x86 -f cridex.vmem hivescan
# 显示注册表配置单元的物理地址
volatility --profile=WinXPSP3x86 -f cridex.vmem hivelist
# 详细显示注册表配置单元的物理地址
volatility --profile=WinXPSP3x86 -f cridex.vmem timeliner
# 显示所有时间发生时的时间线
六、分析恶意软件
volatility --profile=WinXPSP3x86 -f cridex.vmem malfind
# 显示各种进程中,可能注入的恶意软件
volatility --profile=WinXPSP3x86 -f cridex.vmem malfind -p pid
# 显示pid指定进程中,可能注入的恶意软件