关于我在windows使用volatility取证这档事

官网下载地址：https://www.volatilityfoundation.org/releases

volatility3的官方文档：https://volatility3.readthedocs.io/en/latest/basics.html

下载

看清有两个版本，用法不一样

第一次我下载了Volatility 2.6 Windows Standalone Executable (x64)
结果执行Volatility.exe老是报出error
然后我果断删除了2.6
下载了3.0

版本差异

而volatility2的用法如下

volatility -f 'Windows 7-dde00fa9.vmem' imageinfo

volatility3插件功能

下面使用python vol.py -h看volatility3的插件都有哪些
下面插件只是简单罗列，准备再写一篇文章单独介绍

plugin
    banners.Banners     
    configwriter.ConfigWriter
    frameworkinfo.FrameworkInfo 
    isfinfo.IsfInfo   
    layerwriter.LayerWriter
    linux.bash.Bash     
    linux.check_afinfo.Check_afinfo
    linux.check_creds.Check_creds
    linux.check_idt.Check_idt
    linux.check_modules.Check_modules
    linux.check_syscall.Check_syscall  
    linux.elfs.Elfs  
    linux.keyboard_notifiers.Keyboard_notifiers 
    linux.lsmod.Lsmod 
    linux.lsof.Lsof    
    linux.malfind.Malfind
    linux.proc.Maps    
    linux.pslist.PsList
    linux.pstree.PsTree
    linux.tty_check.tty_check
    mac.bash.Bash      
    mac.check_syscall.Check_syscall
    mac.check_sysctl.Check_sysctl
    mac.check_trap_table.Check_trap_table
    mac.ifconfig.Ifconfig
    mac.kauth_listeners.Kauth_listeners
    mac.kauth_scopes.Kauth_scopes
    mac.kevents.Kevents
    mac.list_files.List_Files
    mac.lsmod.Lsmod     
    mac.lsof.Lsof       
    mac.malfind.Malfind
    mac.mount.Mount    
    mac.netstat.Netstat
    mac.proc_maps.Maps  
    mac.psaux.Psaux     
    mac.pslist.PsList   
    mac.pstree.PsTree  
    mac.socke