volatility使用教程
因为网上实在找不到一个正常的教程。我自己探索过程相当麻烦,所以记录一下,也可以帮帮后人。
自行安装
打开下载的文件夹之后,直接在上面输入cmd,打开终端(这个文件不一定要放在这个软件的文件夹里,我只是为了方便所以放的,个人建议不要这样做)
后面是如何让他运行,比如我想要用他打开一个后缀名为mem的文件
输入volatility -f F:\Users\86187\Desktop\volatility_2.6_win64_standalone\memdump.mem imageinfo
回车即可在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 命令imageinfo即可获取镜像信息。Volatility -f xxx.vmem imageinfo
在查到操作系统后如果不确定可以使用以下命令查看volatility - f xxx.vmem --profile= [操作系统] volshell
查看用户名密码信息(密码是哈希值,需要john爆破) hashdump
volatility -f 文件地址 --profile=Win7SP1x64 hashdump
Win7SP1x64:计算机操作系统(上一步操作可以查到)
查看进程pslist
volatility -f 文件地址 --profile=Win7SP1x64 pslist
查看已知进程pslist
volatility -f 文件地址 --profile=Win7SP1x64 pslist -p 2588
隐藏或解链的进程psscan
volatility -f 文件地址 --profile=Win7SP1x64 psscan
查看服务 查询服务名称svcscan
volatility -f 文件地址 --profile=Win7SP1x64 svcscan
svcscan:扫描 Windows 的服务
查看浏览器历史记录,获取当前系统浏览器搜索过的关键词 iehistory
volatility -f 文件地址 --profile=Win7SP1x64 iehistory
查看网络连接 获取当前系统 ip netscan
volatility -f 文件地址 --profile=Win7SP1x64 netscan
查看网络连接connscan
volatility -f 文件地址 --profile=Win7SP1x64 connscan
查看网络连接connections
volatility -f 文件地址 --profile=Win7SP1x64 connections
查看命令行操作,显示cmd历史命令 cmdscan
volatility -f 文件地址 --profile=Win7SP1x64 cmdscan
cmdscan:可用于查看终端记录
产看进程树,可以轻松了解各进程之间的关系:父进程与子进程 pstree
volatility -f 文件地址 –profile=Win2008R2SP1x64 pstree
具体参考此链接
