Volatility工具指令篇
发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,Volatility入门指令篇:Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:v
千家信息网最后更新 2025年12月01日Volatility工具指令篇
Volatility入门指令篇:
Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:volatility -f name --profile=WinXPSP2x86 volshelldt("_PEB") 查看进程环境块volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 :
hivedump打印出注册表中的数据 :
volatility -f name --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
显示每个进程的加载dll列表
Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt
获取SAM表中的用户:
volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"
登陆账户系统
volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
volatility -f name --profile=WinXPSP2x86 userassist
将内存中的某个进程数据以 dmp 的格式保存出来
volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
提取内存中保留的 cmd 命令使用情况
volatility -f name --profile=WinXPSP2x86 cmdscan
获取到当时的网络连接情况
volatility -f name --profile=WinXPSP2x86 netscan
获取 IE 浏览器的使用情况 :
volatility -f name --profile=WinXPSP2x86 iehistory
获取内存中的系统密码,可以使用 hashdump 将它提取出来
volatility -f name --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60volatility -f name --profile=WinXPSP2x86 timeliner
对文件查找及dumo提取某个进程:
volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872strings -e l ./2872.dmp | grep flagvolatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./
HASH匹配用户账户名密码:
Hash, 然后使用john filename --format=NT破解
安全进程扫描
volatility -f name --profile=Win7SP1x64 psscan
Flag字符串扫描:
strings -e l 2616.dmp | grep flag
查找图片:
volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gifvolatility -f name --profile=Win7SP1x64 netscan
注册表解析
volatility -f name --profile=Win7SP1x64 hivelistvolatility -f name --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"
复制、剪切版:
volatility -f name --profile=Win7SP1x64 clipboardvolatility -f name --profile=Win7SP1x64 dlllist -p 3820
Dump所有进程:
volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .利用字符串查找downloadpython vol.py -f name --profile=Win7SP1x86 shimcache
svcscan查看服务
python vol.py -f name --profile=Win7SP1x86 svcscan
modules 查看内核驱动modscan、driverscan 可查看一些隐藏的内核驱动ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后"执行"时间.
进程
注册表
内存
文件
地址
情况
时间
系统
内核
字符
字符串
密码
数据
用户
账户
路径
驱动
指令
安全
信息
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
软件开发中的知识产权培训
数据库优化专业
电脑屏蔽服务器
第七章 网络安全与管理
未转变者服务器租用
哪种磁盘接口多用在服务器上
服务器遭大量攻击
直销软件开发的好选择
刺客服务器
数据库大表如何备份
mysql怎么查询数据库
ssh访问服务器文件
金坛数据库修复
syuu的服务器ip
怎么备份一个数据库结构
无人机网络技术专业大学排名
网络安全有哪些方面的工作
小学生网络安全宣传内容
二年级简单网络安全手抄报
安徽什么是网络技术分类服务保障
计算机软件开发技能特长
重庆服务器阵列卡安装云服务器
魔幻网络安全问题
外贸仿牌服务器租用
河南专业软件开发报价
天津软件开发人员成本
软件开发与工程
rpg语言连接数据库
河源软件开发价格
黑客文化与网络安全日志
