本文由掌控安全学院 - 君叹 投稿
volatility常用命令
查看volatility已安装的profile和插件
volatility --info
当我们拿到一个内存文件镜像的时候,一般来说我们应该先用 imageinfo,查看镜像的信息
imageinfo 查看系统摘要信息
-f 指定一个镜像文件
volatility -f imageinfo
hashdump 查看用户名和密码
volatility -f --profile= hashdump
需要提前指定系统,就是从 Suggested Profile(s)中得到的几个系统版本中选取一个,有的选了没用,就换下一个,例如
然后我们换一个,就可以看到经过hash的密码,这里用的是windows的一种hash算法,并不是md5,随后破解就可以了
pslist 直接列出运行的进程
volatility -f --profile= pslist
psxview 查看隐藏进程
volatility -f --profile= psxview
netscan 查看网络连接状态
volatility -f --profile= netscan
有的时候netscan用了没反应,但是能用connscan