内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全
具体指令开头部分根据Volatility版本做修改即可
查找文件
volatility -f 19.mem --profile=Win7SP1x86_23418 filescan | grep “Information.xlsx”
列举注册表
volatility -f neicun.mem --profile=Win7SP1x64 hivelist
查询cmd指令
volatility -f neicun.mem --profile=Win7SP1x64 cmdline | grep “jdk1.8.0”
查看网络通讯
volatility -f neicun.mem --profile=Win7SP1x64 netscan
查看系统用户名
volatility -f neicun.mem --profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names”
查看用户密码的哈希
volatility -f neicun.mem --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a000300010
查看导出文件
volatility -f neicun.mem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4e5070 -D /root/
查看进程(pslist)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 pslist > win7_sp1_x86_pslist.txt
进程树形查看方式
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 pstree
查看隐藏进程
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 psxview
查看网络通讯连接(netscan)–类似Windows命令 netstat -an
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 netscan > win7_sp1_x86_NetScan.txt
查看Windows帐户密码Hash(haspdump)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hashdump > win7_sp1_x86_hashdump.txt
查看UserAssist应用程序运行记录
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 userassist > win7_sp1_x86_UserAssist.txt
查看进程对应的SID(含用户名)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 getsids > win7_sp1_x86_GetSID.txt
查看Windows系统挂载的注册表配置单元列表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hivelist
导出内存中的注册表配置单元数据(可在取证软件中再次分析)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dumpregistry --dump-dir=K:\volatility
查看内存中IE访问历史记录
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 iehistory > win7_sp1_x86_IE_History.txt
查看应用程序运行记录(ShimCache)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shimcache > win7_sp1_x86_shimecache.txt
查看系统服务列表及状态
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 svcscan > win7_sp1_x86_ServiceList.txt
导出事件时间线信息(用于基于时间顺序的事件分析)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 timeliner > win7_sp1_x86_TimeLineEvent.txt
查看VAD信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 vadinfo > win7_sp1_x86_VAD_info.txt
查看yara信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 yarascan > win7_sp1_x86_yarascan.txt
查看剪贴板(Clipboard)信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 clipboard > win7_sp1_x86_Clipboard.txt
查看进程加载的DLL动态链接库
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dlllist > win7_sp1_x86_DllList.txt
查看GDT信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 gdt> win7_sp1_x86_GDT.txt
查看Sockets连接
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 sockets > win7_sp1_x86_Sockets.txt (Win7SP1x86不支持)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 sockscan > win7_sp1_x86_SockScan.txt (Win7SP1x86不支持)
查看SSDT表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 ssdt > win7_sp1_x86_SSDT.txt
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 eventhooks
查看内存中MFT记录信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mftparser > win7_sp1_x86_MFT_Records.txt
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mftparser --output-file=mftverbose.txt -D mftoutput
查看磁盘MBR扇区信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mbrparser > win7_sp1_x86_MBR_Sector.txt
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 servicediff > win7_sp1_x86_ServiceDiff.txt
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hibinfo (Win7SP1x86不支持)
查看打开的文件夹列表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shellbags > win7_sp1_x86_shellbags.txt
查看系统最后一次关机时间
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shutdowntime
获取域缓存密码hash
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 cachedump
获取RSA私钥和SSL公钥
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dumpcerts --dump-dir=K:\volatility
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 volshell
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 truecryptmaster
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 truecryptpassphrase
内存取证神器Volatility常用指令大全相关推荐
- 内存取证工具——volatility 常用命令
点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...
- matlab常用函数与常用指令大全
matlab常用函数与常用指令大全 matlab常用函数- - 1.特殊变量与常数 ans 计算结果的变量名 computer 确定运行的计算机 eps 浮点相对精度 Inf 无穷大 I 虚数单位 i ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 我的世界服务器修改数据,我的世界常用指令大全,轻松调整服务器数值状态
在我的世界服务器中能够经过输送指令来微调服务器的一些数值状态,此次就为各位提供我的世界常用指令大全,毕竟我的世界作为一款出色的沙盒游戏,不止是因为原版内容和mod的增光填色,也离不开指令的辅助. /s ...
- linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
- nmap常用指令大全 简单易懂
nmap常用指令大全 简单易懂 @ edit by linhk66 一.发现活跃主机 二.扫描端口 三.操作系统.服务判断 四.使用脚本 一.发现活跃主机 **以192.168.1.0/24作为目标网 ...
- mc服务器常用指令_MC玩家必看常用指令大全
/register 密码 #注册账号 /login 密码 #登陆账号 /money #查看金钱 /sethome #设置自己的家 /home #回到自己设置的家 /spawn #传送到出生点(主城) ...
- Android 进阶——调试调优利器 ADB常用指令大全
文章大纲 引言 一.ADB 1.ADB 概述 2.ADB 架构概述 3.ADB 的基本操作 3.1.ADB 的启动和关闭 3.2.指定特定的目标设备 3.3.指定adb server的通信端口 二.a ...
- cmd指令大全指令_汇编语言常用指令大全
MOV 指令为双操作数指令,两个操作数中必须有一个是寄存器. MOV DST , SRC // Byte / Word 执行操作: dst = src 1.目的数可以是通用寄存器, 存储单元和段寄存器 ...
最新文章
- python做啥用-你都用 Python 来做什么?
- ABAddressBookSave关于保存到通讯录失败的问题
- serial driver 1
- java第一次上机_java第一次上机实验--验证码
- 华为车规芯片麒麟990A架构曝光
- java对象名不可以是_java运行一个方法时如何得到该个对象的名字(不是类的名字)....
- 26. JavaScript 计时
- Linux下用C获取so库所在路径
- 在Outlook 2013中发送给多个收件人时如何隐藏电子邮件地址
- c语言int【】=(123456789) 元素a【】的值,算法-用C语言实现
- efficientnet
- Java不停机上线_不停机发布策略
- 中国大学慕课第9周测验
- 中年网易,生存像是一种幸运
- ubuntu命令行查看dns_linux命令,查看dns服务器的状态,查看dhcp服务器的状态
- 一款实用的web截图工具(一)
- 十进制与二进制的转换
- 非对称加密 公钥解密_了解非对称公钥加密
- Base64编码/解码VB6超精简版(适用于中、英文)
- ViewPager设置焦点的问题
热门文章
- C语言答案写成科学记数法,c语言科学记数法_C语言中、科学计数法123456e+002具体代表什么意思、或者说怎么理解这个数_淘题吧...
- linux使用java本地执行cd命令问题
- 《论文写作专刊——国标参考文献格式个人经验总结》
- python空间分析库_空间分析:5-1.空间分析库PySAL的使用
- Apache Atlas的部署
- 软考 java程序设计,软考程序员考点Java语言程序设计之控制流语句分类
- 2017计算机考研408试卷,2017计算机408考研真题
- seo之我们网站的用户都是哪些人
- 移动端调试神器 VConsole与eruda
- OC语言类的深入和分类