https://zhuanlan.zhihu.com/p/29952999 教程
Dumplt生成内存镜像.raw
volatility_2.6_win64_standalone.exe -f 镜像 imageinfo
获取imageinfo信息
volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw imageinfo
进程pslist
volatility_2.6_win64_standalone.exe -f QQQ-PC-20211012-092400.raw --profile=Win7SP1x64 pslist >pslist.txt
以Yara签名扫描进程或内核内存
yarascan -Y "进程名称"
进程对象池扫描
psscan
网络连接
netscan
注册表配置单元池
volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86 hivelist
volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
hivedump -o 0x05bc2008
打印注册表中UserAssist相关信息
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等。
volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
userassist
提取执行的命令行历史记录cmdscan
volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
cmdscan
从内存中转储密码哈希(LM / NTLM)
hashdump
获取注册表信息dumpregistry
--profile=Win7SP1x64 dumpregistry --dump-dir D:\zhucebiao
注册表工具
链接:https://pan.baidu.com/s/1NXWW5wInQfkp5DiDWBCcKA
提取码:9090