python2 vol.py -f /root/桌面/kali/mem.vmem imageinfo
查看系统版本
使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86
olatility 使用:
volatility -f <文件名> --profile=<配置文件> <插件> [插件参数]
获取--profile的参数 。
使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86
root@kali:~/quzhen# volatility -f mem.vmem imageinfo
root@kali:~/quzhen# volatility -f mem.vmem --profile=WinXPSP2x86
shell的命令:
dt("内核关键数据结构名称")
如:
dt("_PEB")
列举进程:
root@kali:~/quzhen# volatility -f mem.vmem --profile=WinXPSP2x86 pslist
列举缓存在内存的注册表 :
olatility -f mem.vmem --profile=WinXPSP2x86 hivelist
正在上传…重新上传取消
hivedump 打印出注册表中的数据 。
volatility -f mem.vmem --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
获取SAM表中的用户 。
volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"
可以看到有4个用户。
获取最后登录系统的账户 。
volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息 。
volatility -f mem.vmem --profile=WinXPSP2x86 userassist
将内存中的某个进程数据以 dmp 的格式保存出来 。
volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
volatility -f xxx imageinfo
#使用imageinfo插件来猜测dump文件的profile值
volatility -f xxx --profile=xxx pslist
#指定profile值,使用pslist去列举系统进程
volatility cmdscan -f xxx --profile=xxx
#查看历史命令
volatility iehistory -f xxx --profile=xxx
#查看IE历史信息
volatility -f mem.raw --profile=Win7SP0x86 screenshot --dump-dir=./
#查看截图
