下载volatility
apt-get install volatility
- 检测目标系统信息
volatility -f win7.raw imageinfo
- 查看运行的进程信息
volatility -f win7.raw --profile=Win7SPIx64 pslist
3.查看文件列表
volatility -f win7.raw --profile=Win7SPIx64 filescan |grep txt
4.下载感兴趣的文件
volatility -f win7.raw --profile=Win7SPIx64 dumpfile -Q 0x000007 -D dir #dir你保存的路径
5.提取系统的账号密码
volatility -f win7.raw --profile=Win7SPIx64 hashdump
6.查看网络通信连接
volatility -f win7.raw --profile=Win7SPIx64 netscan |grep ESTABLISHED
7.查看cmd历史记录
volatility -f win7.raw --profile=Win7SPIx64 cmdscan
8.导出nc进程传输的文件
volatility -f win7.raw --profile=Win7SPIx64 memdump -p 352 -D dir # 352为nc的进程号 dir 为保存的路径
9.分割dmp文件
foremost 352.dmp