1.获取操作系统信息
volatility -f win7.vmem imageinfo
2.查看进程信息
volatility -f win7.vmem --profile=Win7SP1x86_23418 pslist
volatility -f win7.vmem --profile=Win7SP1x86_23418 psscan
volatility -f win7.vmem --profile=Win7SP1x86_23418 pstree
3.查看文件
volatility -f win7.vmem --profile=Win7SP1x86_23418 filescan
4.查看剪切板
volatility -f win7.vmem --profile=Win7SP1x86_23418 clipboard
5.查看记事本
volatility -f win7.vmem --profile=Win7SP1x86_23418 editbox
volatility -f win7.vmem --profile=Win7SP1x86_23418 notepad
6.查看用户和加密密码
volatility -f win7.vmem --profile=Win7SP1x86_23418 hashdump
7.查看强密码
volatility -f win7.vmem --profile=Win7SP1x86_23418 lsadump
8.提取进程
volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址
9.提取文件
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址
10.查看cmd记录
volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan
volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdline
11.查看服务
volatility -f win7.vmem --profile=Win7SP1x86_23418 svcscan
12.查看浏览器记录
volatility -f win7.vmem --profile=Win7SP1x86_23418 iehistory
13.查看注册表
volatility -f win7.vmem --profile=Win7SP1x86_23418 hivelist
14.查看键名
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 printkey
15.查看用户名
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 -K "SAM\Domains\Account\Users\Names" printkey
16.查看主机名
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName\ComputerName" printkey
17.查看用户SID
volatility -f win7.vmem --profile=Win7SP1x86_23418 getsids
18.查看网络连接
volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan
volatility -f win7.vmem --profile=Win7SP1x86_23418 connscan
这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
愿与诸君共勉之!