volatility使用教程

因为网上实在找不到一个正常的教程。我自己探索过程相当麻烦，所以记录一下，也可以帮帮后人。

自行安装

打开下载的文件夹之后，直接在上面输入cmd,打开终端（这个文件不一定要放在这个软件的文件夹里，我只是为了方便所以放的，个人建议不要这样做）

后面是如何让他运行，比如我想要用他打开一个后缀名为mem的文件

输入volatility -f F:\Users\86187\Desktop\volatility_2.6_win64_standalone\memdump.mem imageinfo

回车即可在分析之前，需要先判断当前的镜像信息，分析出是哪个操作系统 命令imageinfo即可获取镜像信息。Volatility -f xxx.vmem imageinfo
在查到操作系统后如果不确定可以使用以下命令查看volatility - f xxx.vmem --profile= [操作系统] volshell

查看用户名密码信息(密码是哈希值，需要john爆破) hashdump

volatility -f 文件地址 --profile=Win7SP1x64 hashdump

Win7SP1x64:计算机操作系统（上一步操作可以查到）

查看进程pslist

volatility -f 文件地址 --profile=Win7SP1x64 pslist

查看已知进程pslist

volatility -f 文件地址 --profile=Win7SP1x64 pslist -p 2588

隐藏或解链的进程psscan

volatility -f 文件地址 --profile=Win7SP1x64 psscan

查看服务 查询服务名称svcscan

volatility -f 文件地址 --profile=Win7SP1x64 svcscan

svcscan：扫描 Windows 的服务

查看浏览器历史记录,获取当前系统浏览器搜索过的关键词 iehistory

volatility -f 文件地址 --profile=Win7SP1x64 iehistory

查看网络连接 获取当前系统 ip netscan 

volatility -f 文件地址 --profile=Win7SP1x64 netscan

查看网络连接connscan

volatility -f 文件地址 --profile=Win7SP1x64 connscan

查看网络连接connections

volatility -f 文件地址 --profile=Win7SP1x64 connections

查看命令行操作，显示cmd历史命令 cmdscan

volatility -f 文件地址 --profile=Win7SP1x64 cmdscan

cmdscan：可用于查看终端记录

产看进程树，可以轻松了解各进程之间的关系：父进程与子进程 pstree

volatility -f 文件地址 –profile=Win2008R2SP1x64 pstree

具体参考此链接

https://blog.csdn.net/m0_68012373/article/details/127419463?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167913759716800215055038%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=167913759716800215055038&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-127419463-null-null.142^v74^insert_down3,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=volatility%E4%BD%BF%E7%94%A8&spm=1018.2226.3001.4

__EOF__

本文作者：XFocus
本文链接：https://www.cnblogs.com/XFocus/p/18543190.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！