1.得到后缀为vmem的镜像文件后,就启动volatility,然后打开该镜像存放位置下的终端
2.终端输入volatility -f 文件名.vmem imageinfo就可以得到该镜像的系统版本
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号
4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令
5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容
6.寻找最大程序提取信息,这个一般就是敏感文件,volatility -f 文件名.vmem --profile=系统版本号 timeliner
7.查看用户名和密码:volatility -f 1.vmem --profile=Win7SP1x64 hashdump(第一次看不出来的时候就用lasdump替代hashdump来看)
8.查看进程:volatility -f 1.vmem --profile=Win7SP1x64 pslist
9.查看服务器消息:volatility -f 1.vmem --profile=Win7SP1x64 svcscan
10.查看文件内容dmpfiles
volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./
需要指定偏移量 -Q 和输出目录 -D
12.Volatility -f 1.vmem --profile=Win7SP1x64 hivelist
看见后缀是system的,以直接通过 hivedump查询相应的键名但比较慢:
volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > system.txt