可以用的文件后缀:.vmem / .dump / .raw / .img
vol.py --info 可以查看插件
-
识别操作系统的基本信息:
python2 vol.py mem.dump imageinfo
-
扫描进程:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pslist
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstree
-
扫描进程缓存的文件:
vol.py -f memory.raw --profile=Win7SP1x64 filescan
查找特定后缀的文件:
vol.py -f example.raw --profile=Win7SP1x64 filescan | grep -E 'txt|png|jpg|gif|zip|rar|7z|pdf|doc'
查找指定文件夹下的文件:
volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User
使用dumpfiles爆破文件内容:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir=./
通过memdump爆破出进程对应的信息:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3036 --dump-dir=./
-
查看进程环境变量:
vol.py -f memory.raw --profile=Win7SP1x64 envars
-
扫描进程命令行参数:
vol.py -f memory.raw --profile=Win7SP1x64 cmdscan
vol.py -f memory.raw --profile=Win7SP1x64 cmdline
-
扫描动态库列表:
#可使用-p参数指定PID号
vol.py -f memory.img --profile=Win2003SP1x86 dlllist
vol.py -f memory.img --profile=Win2003SP1x86 ldrmodules
vol.py -f memory.img --profile=Win2003SP1x86 malfind
-
用户的用户名和密码(hash值):
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 hashdump
-
扫描注册表项:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey
-
扫描注册表数据(键值):
vol.py -f memory.raw --profile=Win7SP1x64 hivelist
vol.py -f memory.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a001cce010(注册表Volatility地址)
-
查看网络连接状态:
vol.py -f memory.raw --profile=Win7SP1x64 svcscan
-
查看服务运行状态:
vol.py -f memory.raw --profile=Win7SP1x64 svcscan
-
查看浏览器历史记录:
vol.py -f 1.vmem --profile=Win7SP1x64 iehistory
-
查看当前展示的notepad的内容:
vol.py -f 1.vmem --profile=Win7SP1x64 notepad
-
提取进程:
vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./
-
获取屏幕截图:
vol.py -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./
-
查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等:
vol.py -f 1.vmem --profile=Win7SP1x64 userassist
-
最大程序提取信息:
vol.py -f 1.vmem --profile=Win7SP1x64 timeliner
调用插件:vol.py [plugins] -f example.raw --profile=Win7SP1x64 [插件名]
使用mimikatz插件快速获取用户密码:
vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f mem.dump --profile=Win7SP1x64 mimikatz
使用ndispktscan插件搜索内核的网络流量包信息:
vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f OtterCTF.vmem --profile=Win7SP1x64 ndispktscan
使用VolDiff进行恶意软件检测(单独使用)