Volatility
下载
发行版下载
语法
Volatility -f <RAW文件> [--profile=<配置文件>] <插件> [插件参数]
基本插件
Imageinfo
用于查看内存样本的摘要信息。
> volatility -f D:\IMAGE.raw imageinfo
Volatility Foundation Volatility Framework 2.5
INFO : volatility.debug : Determining profile based on KDBG search...Suggested Profile(s) : Win7SP0x86, Win7SP1x86AS Layer1 : IA32PagedMemoryPae (Kernel AS)AS Layer2 : FileAddressSpace (D:\IMAGE.raw)PAE type : PAEDTB : 0x185000LKDBG : 0x8452cc28LNumber of Processors : 8Image Type (Service Pack) : 1KPCR for CPU 0 : 0x8452dc00LKPCR for CPU 1 : 0x807d6000LKPCR for CPU 2 : 0x8f315000LKPCR for CPU 3 : 0x8f34b000LKPCR for CPU 4 : 0x8f381000LKPCR for CPU 5 : 0x8f3b7000LKPCR for CPU 6 : 0x8f3ed000LKPCR for CPU 7 : 0x807ba000LKUSER_SHARED_DATA : 0xffdf0000LImage date and time : 2018-10-12 14:32:37 UTC+0000Image local date and time : 2018-10-12 22:32:37 +0800
第4行: 建议配置文件
Pslist
枚举系统中的进程。
> volatility -f D:\IMAGE.raw --profile=Win7SP0x86 pslist
Volatility Foundation Volatility Framework 2.5
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x8691a958 System 4 0 144 714 ------ 0 2018-10-12 07:05:02 UTC+0000
0x879e7d40 smss.exe 316 4 2 37 ------ 0 2018-10-12 07:05:02 UTC+0000
0x87925d40 csrss.exe 496 484 9 373 0 0 2018-10-12 07:05:05 UTC+0000
0x89064d40 wininit.exe 552 484 3 89 0 0 2018-10-12 07:05:06 UTC+0000
0x89009b38 csrss.exe 560 544 13 685 1 0 2018-10-12 07:05:06 UTC+0000
0x89070930 services.exe 608 552 6 212 0 0 2018-10-12 07:05:06 UTC+0000
0x89051d40 lsass.exe 624 552 7 580 0 0 2018-10-12 07:05:07 UTC+0000
0x89052d40 lsm.exe 632 552 9 154 0 0 2018-10-12 07:05:07 UTC+0000
0x8917cc18 winlogon.exe 744 544 4 133 1 0 2018-10-12 07:05:07 UTC+0000
0x891983b0 svchost.exe 776 608 11 394 0 0 2018-10-12 07:05:07 UTC+0000
0x891a2280 svchost.exe 840 608 9 297 0 0 2018-10-12 07:05:07 UTC+0000
0x891cf5b8 svchost.exe 952 608 19 440 0 0 2018-10-12 07:05:07 UTC+0000
0x891db030 svchost.exe 984 608 30 813 0 0 2018-10-12 07:05:07 UTC+0000
0x891e4930 svchost.exe 1020 608 34 924 0 0 2018-10-12 07:05:07 UTC+0000
0x89271568 svchost.exe 1224 608 23 695 0 0 2018-10-12 07:05:10 UTC+0000
0x8927a898 igfxCUIService 1264 608 4 117 0 0 2018-10-12 07:05:10 UTC+0000
0x892d7d40 svchost.exe 1384 608 22 436 0 0 2018-10-12 07:05:10 UTC+0000
0x892fd030 wisptis.exe 1412 984 5 167 1 0 2018-10-12 07:05:10 UTC+0000
0x8935dac0 spoolsv.exe 1556 608 12 309 0 0 2018-10-12 07:05:11 UTC+0000
0x892ebd40 svchost.exe 1600 608 12 196 0 0 2018-10-12 07:05:11 UTC+0000
0x891fe030 taskhost.exe 1824 608 10 238 1 0 2018-10-12 07:05:14 UTC+0000
0x8940b918 wisptis.exe 1880 984 10 229 1 0 2018-10-12 07:05:14 UTC+0000
0x8937f7b0 dwm.exe 1940 984 5 161 1 0 2018-10-12 07:05:14 UTC+0000
0x894327f8 svchost.exe 1968 608 6 102 0 0 2018-10-12 07:05:14 UTC+0000
0x893a2478 PresentationFo 2016 608 6 161 0 0 2018-10-12 07:05:16 UTC+0000
0x89566850 svchost.exe 2240 608 5 103 0 0 2018-10-12 07:05:18 UTC+0000
0x8958c5e0 igfxEM.exe 2372 2292 6 165 1 0 2018-10-12 07:05:18 UTC+0000
0x895944e8 igfxHK.exe 2380 2292 7 238 1 0 2018-10-12 07:05:18 UTC+0000
0x8959d570 igfxTray.exe 2388 2292 4 241 1 0 2018-10-12 07:05:18 UTC+0000
0x8791b030 svchost.exe 2832 2816 4 870 1 0 2018-10-12 07:05:32 UTC+0000
0x87b6da48 calc.exe 2840 2816 7 143 1 0 2018-10-12 07:05:32 UTC+0000
0x895e67e8 mspaint.exe 2888 2832 11 1187 1 0 2018-10-12 07:05:32 UTC+0000
0x891cc030 svchost.exe 3488 608 16 259 0 0 2018-10-12 07:07:15 UTC+0000
0x86bdb410 SogouCloud.exe 3904 1652 16 292 1 0 2018-10-12 07:13:22 UTC+0000
0x86ead448 explorer.exe 3604 744 61 2095 1 0 2018-10-12 10:08:42 UTC+0000
0x86d8a7f8 QQMusic.exe 3628 3604 80 724 1 0 2018-10-12 10:20:48 UTC+0000
0x88c06648 qbclient.exe 1464 3628 44 566 1 0 2018-10-12 10:20:48 UTC+0000
0x86d77828 audiodg.exe 2312 952 6 142 0 0 2018-10-12 14:01:35 UTC+0000
0x88867c68 rundll32.exe 2084 3604 0 -------- 1 0 2018-10-12 14:24:57 UTC+0000 2018-10-12 14:25:43 UTC+0000
0x874f8598 WUDFHost.exe 1764 984 8 229 0 0 2018-10-12 14:26:48 UTC+0000
0x874e2d40 WmiPrvSE.exe 288 776 6 122 0 0 2018-10-12 14:27:46 UTC+0000
0x8750d030 SGTool.exe 3864 3604 11 335 1 0 2018-10-12 14:30:30 UTC+0000
0x87878030 360zipUpdate.e 2344 3824 19 249 1 0 2018-10-12 14:32:15 UTC+0000
0x88b0e8d8 DumpIt.exe 2916 3604 5 75 1 0 2018-10-12 14:32:27 UTC+0000
0x8758f030 conhost.exe 1496 560 5 94 1 0 2018-10-12 14:32:27 UTC+0000
Pstree
以树的形式枚举系统中的进程。
> volatility -f D:\IMAGE.raw --profile=Win7SP0x86 pstree
Volatility Foundation Volatility Framework 2.5
Name Pid PPid Thds Hnds Time
-------------------------------------------------- ------ ------ ------ ------ ----0x86bdb410:SogouCloud.exe 3904 1652 16 292 2018-10-12 07:13:22 UTC+00000x87925d40:csrss.exe 496 484 9 373 2018-10-12 07:05:05 UTC+00000x89064d40:wininit.exe 552 484 3 89 2018-10-12 07:05:06 UTC+0000
. 0x89051d40:lsass.exe 624 552 7 580 2018-10-12 07:05:07 UTC+0000
. 0x89070930:services.exe 608 552 6 212 2018-10-12 07:05:06 UTC+0000
.. 0x89566850:svchost.exe 2240 608 5 103 2018-10-12 07:05:18 UTC+0000
.. 0x891983b0:svchost.exe 776 608 11 394 2018-10-12 07:05:07 UTC+0000
... 0x874e2d40:WmiPrvSE.exe 288 776 6 122 2018-10-12 14:27:46 UTC+0000
.. 0x891db030:svchost.exe 984 608 30 813 2018-10-12 07:05:07 UTC+0000
... 0x892fd030:wisptis.exe 1412 984 5 167 2018-10-12 07:05:10 UTC+0000
... 0x8940b918:wisptis.exe 1880 984 10 229 2018-10-12 07:05:14 UTC+0000
... 0x874f8598:WUDFHost.exe 1764 984 8 229 2018-10-12 14:26:48 UTC+0000
... 0x8937f7b0:dwm.exe 1940 984 5 161 2018-10-12 07:05:14 UTC+0000
.. 0x8935dac0:spoolsv.exe 1556 608 12 309 2018-10-12 07:05:11 UTC+0000
.. 0x891fe030:taskhost.exe 1824 608 10 238 2018-10-12 07:05:14 UTC+0000
.. 0x891a2280:svchost.exe 840 608 9 297 2018-10-12 07:05:07 UTC+0000
.. 0x891cc030:svchost.exe 3488 608 16 259 2018-10-12 07:07:15 UTC+0000
.. 0x891cf5b8:svchost.exe 952 608 19 440 2018-10-12 07:05:07 UTC+0000
... 0x86d77828:audiodg.exe 2312 952 6 142 2018-10-12 14:01:35 UTC+0000
.. 0x892ebd40:svchost.exe 1600 608 12 196 2018-10-12 07:05:11 UTC+0000
.. 0x893a2478:PresentationFo 2016 608 6 161 2018-10-12 07:05:16 UTC+0000
.. 0x89271568:svchost.exe 1224 608 23 695 2018-10-12 07:05:10 UTC+0000
.. 0x894327f8:svchost.exe 1968 608 6 102 2018-10-12 07:05:14 UTC+0000
.. 0x8927a898:igfxCUIService 1264 608 4 117 2018-10-12 07:05:10 UTC+0000
.. 0x892d7d40:svchost.exe 1384 608 22 436 2018-10-12 07:05:10 UTC+0000
.. 0x891e4930:svchost.exe 1020 608 34 924 2018-10-12 07:05:07 UTC+0000
. 0x89052d40:lsm.exe 632 552 9 154 2018-10-12 07:05:07 UTC+00000x8691a958:System 4 0 144 714 2018-10-12 07:05:02 UTC+0000
. 0x879e7d40:smss.exe 316 4 2 37 2018-10-12 07:05:02 UTC+00000x89009b38:csrss.exe 560 544 13 685 2018-10-12 07:05:06 UTC+0000
. 0x8758f030:conhost.exe 1496 560 5 94 2018-10-12 14:32:27 UTC+00000x8917cc18:winlogon.exe 744 544 4 133 2018-10-12 07:05:07 UTC+0000
. 0x86ead448:explorer.exe 3604 744 61 2095 2018-10-12 10:08:42 UTC+0000
.. 0x8750d030:SGTool.exe 3864 3604 11 335 2018-10-12 14:30:30 UTC+0000
.. 0x88867c68:rundll32.exe 2084 3604 0 ------ 2018-10-12 14:24:57 UTC+0000
.. 0x86d8a7f8:QQMusic.exe 3628 3604 80 724 2018-10-12 10:20:48 UTC+0000
... 0x88c06648:qbclient.exe 1464 3628 44 566 2018-10-12 10:20:48 UTC+0000
.. 0x88b0e8d8:DumpIt.exe 2916 3604 5 75 2018-10-12 14:32:27 UTC+00000x8791b030:svchost.exe 2832 2816 4 870 2018-10-12 07:05:32 UTC+0000
. 0x895e67e8:mspaint.exe 2888 2832 11 1187 2018-10-12 07:05:32 UTC+00000x87b6da48:calc.exe 2840 2816 7 143 2018-10-12 07:05:32 UTC+00000x8958c5e0:igfxEM.exe 2372 2292 6 165 2018-10-12 07:05:18 UTC+00000x895944e8:igfxHK.exe 2380 2292 7 238 2018-10-12 07:05:18 UTC+00000x8959d570:igfxTray.exe 2388 2292 4 241 2018-10-12 07:05:18 UTC+00000x87878030:360zipUpdate.e 2344 3824 19 249 2018-10-12 14:32:15 UTC+0000
Netscan
发现TCP / UDP端点和监听器。
> volatility -f D:\IMAGE.raw --profile=Win7SP0x86 netscan
Volatility Foundation Volatility Framework 2.5
Offset(P) Proto Local Address Foreign Address State Pid Owner Created
0x6ba1cf8 UDPv4 192.168.109.237:58026 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8a60630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8a93630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8ac6630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8af9630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8b2c630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8b5f630 UDPv6 fe80::9d71:473c:6753:5d34:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8c9fd40 UDPv4 192.168.0.125:138 *:* 4 System 2018-10-12 07:05:15 UTC+0000
0xa8cc0910 UDPv4 192.168.0.125:137 *:* 4 System 2018-10-12 07:05:15 UTC+0000
0xa8cffea0 UDPv4 0.0.0.0:1863 *:* 3628 QQMusic.exe 2018-10-12 10:22:12 UTC+0000
0xa8dc4380 UDPv4 0.0.0.0:0 *:* 2240 svchost.exe 2018-10-12 07:05:20 UTC+0000
0xa8dc4380 UDPv6 :::0 *:* 2240 svchost.exe 2018-10-12 07:05:20 UTC+0000
0xa8e2fad0 UDPv4 0.0.0.0:4500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8ef89a8 UDPv4 0.0.0.0:3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xa8ef89a8 UDPv6 :::3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xa8f14e08 UDPv4 192.168.109.237:138 *:* 4 System 2018-10-12 14:25:47 UTC+0000
0xa8f43bb8 UDPv4 192.168.0.125:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xa8f88d30 UDPv4 0.0.0.0:500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8bcb8 UDPv4 0.0.0.0:4500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8bcb8 UDPv6 :::4500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8d630 UDPv4 0.0.0.0:500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8d630 UDPv6 :::500 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8fa38 UDPv4 0.0.0.0:0 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa8f8fa38 UDPv6 :::0 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xa913e620 UDPv4 0.0.0.0:0 *:* 2240 svchost.exe 2018-10-12 07:05:20 UTC+0000
0xa94c8f50 UDPv4 0.0.0.0:0 *:* 2344 360zipUpdate.e 2018-10-12 14:32:52 UTC+0000
0xa94c8f50 UDPv6 :::0 *:* 2344 360zipUpdate.e 2018-10-12 14:32:52 UTC+0000
0xa8c05f20 TCPv4 0.0.0.0:49155 0.0.0.0:0 LISTENING 608 services.exe
0xa8c71340 TCPv4 0.0.0.0:445 0.0.0.0:0 LISTENING 4 System
0xa8c71340 TCPv6 :::445 :::0 LISTENING 4 System
0xa8c80a70 TCPv4 0.0.0.0:49155 0.0.0.0:0 LISTENING 608 services.exe
0xa8c80a70 TCPv6 :::49155 :::0 LISTENING 608 services.exe
0xa8ca6810 TCPv4 0.0.0.0:49159 0.0.0.0:0 LISTENING 624 lsass.exe
0xa8ca6810 TCPv6 :::49159 :::0 LISTENING 624 lsass.exe
0xa8cc0f60 TCPv4 192.168.0.125:139 0.0.0.0:0 LISTENING 4 System
0xa8e89c10 TCPv4 0.0.0.0:49154 0.0.0.0:0 LISTENING 1020 svchost.exe
0xa8f30bf0 TCPv4 0.0.0.0:49154 0.0.0.0:0 LISTENING 1020 svchost.exe
0xa8f30bf0 TCPv6 :::49154 :::0 LISTENING 1020 svchost.exe
0xa91ba7b8 TCPv4 0.0.0.0:49152 0.0.0.0:0 LISTENING 552 wininit.exe
0xa91ba7b8 TCPv6 :::49152 :::0 LISTENING 552 wininit.exe
0xa91c07e8 TCPv4 0.0.0.0:135 0.0.0.0:0 LISTENING 840 svchost.exe
0xa91c07e8 TCPv6 :::135 :::0 LISTENING 840 svchost.exe
0xa91c1700 TCPv4 0.0.0.0:135 0.0.0.0:0 LISTENING 840 svchost.exe
0xa91c7288 TCPv4 0.0.0.0:49152 0.0.0.0:0 LISTENING 552 wininit.exe
0xa91d3008 TCPv4 0.0.0.0:49153 0.0.0.0:0 LISTENING 952 svchost.exe
0xa91d68b8 TCPv4 0.0.0.0:49153 0.0.0.0:0 LISTENING 952 svchost.exe
0xa91d68b8 TCPv6 :::49153 :::0 LISTENING 952 svchost.exe
0xa96a8560 UDPv4 0.0.0.0:52273 *:* 1384 svchost.exe 2018-10-12 14:32:59 UTC+0000
0xa96ef148 UDPv4 0.0.0.0:0 *:* 3620 360zip.exe 2018-10-12 14:32:48 UTC+0000
0xa96ef148 UDPv6 :::0 *:* 3620 360zip.exe 2018-10-12 14:32:48 UTC+0000
0xa97c4320 UDPv4 0.0.0.0:53917 *:* 1384 svchost.exe 2018-10-12 14:32:29 UTC+0000
0xa9951de0 UDPv4 0.0.0.0:65071 *:* 1384 svchost.exe 2018-10-12 14:33:02 UTC+0000
0xa99878c0 UDPv4 0.0.0.0:58489 *:* 1384 svchost.exe 2018-10-12 14:33:04 UTC+0000
0xa96fedf8 TCPv4 -:0 -:0 CLOSED 3628 QQMusic.exe
0xaa62e5e8 UDPv4 0.0.0.0:0 *:* 1020 svchost.exe 2018-10-12 07:05:12 UTC+0000
0xaa895c10 UDPv6 fe80::9d71:473c:6753:5d34:546 *:* 952 svchost.exe 2018-10-12 14:33:06 UTC+0000
0xaa89e008 UDPv4 192.168.0.125:58025 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xaa8a5398 UDPv4 127.0.0.1:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xaa9e1310 TCPv4 0.0.0.0:49159 0.0.0.0:0 LISTENING 624 lsass.exe
0xaad93008 UDPv4 0.0.0.0:0 *:* 2344 360zipUpdate.e 2018-10-12 14:33:04 UTC+0000
0xaad93008 UDPv6 :::0 *:* 2344 360zipUpdate.e 2018-10-12 14:33:04 UTC+0000
0xab27edf8 UDPv4 0.0.0.0:3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab27edf8 UDPv6 :::3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab296218 UDPv4 0.0.0.0:5355 *:* 1384 svchost.exe 2018-10-12 14:25:51 UTC+0000
0xab2bb148 UDPv4 0.0.0.0:54508 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab2bb148 UDPv6 :::54508 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab2c4918 UDPv4 192.168.109.237:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab312738 UDPv4 0.0.0.0:3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab357318 UDPv4 0.0.0.0:54507 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab35e6c8 UDPv6 fe80::7c7e:acc2:a48a:7482:58022 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab200980 TCPv4 192.168.109.237:139 0.0.0.0:0 LISTENING 4 System
0xaacf0330 TCPv4 -:0 -:0 CLOSED 3628 QQMusic.exe
0xaacf52e8 TCPv4 -:0 -:0 CLOSED 3628 QQMusic.exe
0xab459178 UDPv4 0.0.0.0:59419 *:* 1384 svchost.exe 2018-10-12 08:40:23 UTC+0000
0xab4e4b48 UDPv4 127.0.0.1:58027 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab526d40 UDPv4 0.0.0.0:53044 *:* 1384 svchost.exe 2018-10-12 09:43:42 UTC+0000
0xab568bb0 UDPv4 0.0.0.0:59603 *:* 1384 svchost.exe 2018-10-12 14:33:07 UTC+0000
0xab56d430 UDPv4 192.168.109.237:137 *:* 4 System 2018-10-12 14:25:47 UTC+0000
0xab5ac880 UDPv6 fe80::9d71:473c:6753:5d34:58023 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab5b1478 UDPv4 0.0.0.0:3702 *:* 1224 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab72a768 UDPv4 0.0.0.0:50660 *:* 1384 svchost.exe 2018-10-12 10:10:57 UTC+0000
0xab758d18 UDPv4 0.0.0.0:0 *:* 4288676480 2018-10-12 14:32:29 UTC+0000
0xab758d18 UDPv6 :::0 *:* 4288676480 2018-10-12 14:32:29 UTC+0000
0xab762f50 UDPv4 0.0.0.0:0 *:* 1384 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab762f50 UDPv6 :::0 *:* 1384 svchost.exe 2018-10-12 14:25:48 UTC+0000
0xab7761b8 UDPv4 0.0.0.0:5355 *:* 1384 svchost.exe 2018-10-12 14:25:51 UTC+0000
0xab7761b8 UDPv6 :::5355 *:* 1384 svchost.exe 2018-10-12 14:25:51 UTC+0000
0xab778190 UDPv6 fe80::7c7e:acc2:a48a:7482:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab77f1d0 UDPv6 ::1:1900 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
0xab7e8b50 UDPv6 ::1:58024 *:* 3488 svchost.exe 2018-10-12 14:25:47 UTC+0000
Modscan
扫描_ldr_data_table_entry对象的物理内存。
Kpcrscan
查找内存中用于定义内核处理器控制区域(KPCR)的_KPCR结构体信息。
Dlllist
显示一个进程装载的动态链接库的信息。
Filescan
显示系统上的打开的文件。
Handles
显示在一个进程中打开的处理。
报错
No suitable address space mapping found
- profile 名称与虚拟机类型不符,包括系统位数
- -f 与 -l 命令选择错误
- 使用 -f 命令时,raw文件不存在或者名称错误
- 使用 -l 命令时,虚拟机名称错误
- RAW文件未成功转储
- 权限不足
- 没有安装libvmi
Volatility相关推荐
- android内存取证实现,[内存取证]Volatility基本用法
volatility -f memory imageinfo #查看系统版本 Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x6 ...
- ctf -- 内存取证分析工具volatility的下载与安装+简单的使用
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来: git clone https://github.com/volatilityfoun ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
- kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...
- Volatility内存分析工具-某即时通讯软件Windows端数据库密钥的分析
转载自公众号:取证者联盟 目录 1. 前言 2. 准备工作 3. 内存镜像解析 4. 踩过的坑和感悟 5. 技术要点总结 前言 某年月日,我司在项目中遇到了一个不太常见的需求:根据内存镜像解析电脑中的 ...
- 内存取证常见例题思路方法-volatility (没有最全 只有更全)
目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...
- 制作Linux内存镜像+制作对应的volatility profile
制作Linux内存镜像+制作对应的volatility profile 文章目录 制作Linux内存镜像+制作对应的volatility profile 制作Linux内存镜像 lmg安装 制作vol ...
- 学习笔记-Volatility
Volatility 文章作者 r0fus0d & Lorna Dane 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 ...
- 【文献阅读】The role of news sentiment in oil futures returns and volatility forecasting
0.摘要 In this paper, we extract the qualitative information from crude oil news headlines, and develo ...
- 浅析Volatility内存取证
内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...
最新文章
- ubuntu12.04 alternate win7 双系统安装
- .net使用websocket
- __getitem__()
- java mina多线程_mina2中的线程池
- amixer 如何切通道_三峡工程如何突破技术难题?
- java scanner_Java Scanner nextLong()方法与示例
- php文件上传sha1,PHP中sha1_file与md5_file哪个更快?
- SVG实现loading
- php中的魔术常量__FILE__
- 树莓派3B+ 远程下载服务器(Aria2)
- 有个程序猿很忧桑:一个命令rm -rf/ ,他把整个公司删没了
- java.lang.ClassNotFoundException: Cannot find class:
- Grafana更改主题背景
- VS2017专业版和企业版下载激活
- Problem 1004: 蛤玮打扫教室(区间覆盖端点记录)
- 华为招聘实习生~base深圳,坂田总部
- 163企业邮箱注册申请后怎么使用
- c语言求三门课程的平均成绩,C语言求三个学生四门课每个学生的平均成绩和每门课的平均成绩,并存入cx.txt中...
- 小程序跳转到另一个小程序很慢很卡
- Excel和XML的相互转换(JAVA语言)
热门文章
- 关于Palantir——第三部分:数据集成
- java多态、抽象类和接口
- C语言项目-后宫选妃系统-第三天-终结
- 树莓派Ubuntu20.04常见问题总结
- Cortex-M3和Cortex-M4 Fault异常基础知识
- 云计算计算机二级,全国计算机等级考试二级MS+Office高级应用真题题库2+2020年3月-20210613095444.pdf-原创力文档...
- 金蝶服务器组件无法正常工作,K3组件kdsvrmgr无法正常工作
- [c++] 什么是平凡类型,标准布局类型,POD类型,聚合体
- Open Aspect Target Sentiment Classification with Natural Language Prompts
- 《计算机视觉特征提取与图像处理(第三版)》笔记/第一章(1)计算机视觉基础