Volatility 工具使用说明

Volatility 工具使用说明（个人记录）

1. 获取内存镜像版本信息

volatility -f 1.vmem imageinfo

此命令借助 Volatility 工具，针对指定的内存镜像文件1.vmem开展分析，从而获取该镜像的版本以及相关系统信息。

2. 列出内存中的进程

volatility -f 1.vmem --profile=Win7SP1x64 pslist

该命令使用 Volatility 工具，针对1.vmem内存镜像文件进行分析，并且明确指定系统配置文件为Win7SP1x64，进而列出内存里所有正在运行的进程。

3. 查看用户密码（hash 值）

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

借助 Volatility 工具分析1.vmem内存镜像文件，同时指定系统配置文件为Win7SP1x64，以获取用户密码的 hash 值。

4. 查看 cmd 进程

volatility -f 1.vmem --profile=Win7SP1x64 pslist | grep cmd

运用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，列出所有进程，并且筛选出包含cmd的进程。

5. 查找 flag 关键词

volatility -f 1.vmem --profile=Win7SP1x64 filescan | grep flag

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，扫描文件系统，并且筛选出包含flag关键词的结果。

6. 查找 flag 关键词并将文件存储

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q \<address> -D./

借助 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，依据给定的地址（<address>）转储文件到当前目录（./）。

7. 查看 windows 窗口程序

volatility -f 1.vmem --profile=Win7SP1x64 windowsxp\_windowstations

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看 Windows 窗口程序相关信息。

8. 从注册表中提取 LSA 密钥信息

volatility -f 1.vmem --profile=Win7SP1x64 lsadump

运用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，从注册表中提取 LSA 密钥信息。

9. 列出注册表信息

volatility -f 1.vmem --profile=Win7SP1x64 hivelist

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，列出注册表的信息。

10. 解析路径，看到主机名（system）

volatility -f 1.vmem --profile=Win7SP1x64 -o \<address> printkey -K "\<key\_path>"

借助 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，根据给定的地址（<address>）和注册表键路径（<key_path>）打印相关的注册表键信息。

11. 查看进程树

volatility -f 1.vmem --profile=Win7SP1x64 pstree

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看进程的树形结构。

12. 查看某个进程的 DLL

volatility -f 1.vmem --profile=Win7SP1x64 dlllist -p \<pid>

运用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，根据给定的进程 ID（<pid>）查看该进程加载的 DLL 信息。

13. 查看 notepad 文本

volatility -f 1.vmem --profile=Win7SP1x64 notepad

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看记事本程序的文本内容。

14. 查看有关编辑控件

volatility -f 1.vmem --profile=Win7SP1x64 editbox

借助 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看编辑控件的相关信息。

15. 进程转储

volatility -f 1.vmem --profile=Win7SP1x64 memdump -p \<pid> -D./

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，根据给定的进程 ID（<pid>）将进程内存转储到当前目录（./）。

16. 保存基于 GDI 窗口的伪截屏

volatility -f 1.vmem --profile=Win7SP1x64 gdiscreen -D./

运用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，将基于 GDI 窗口的伪截屏保存到当前目录（./）。

17. 查看剪贴板

volatility -f 1.vmem --profile=Win7SP1x64 clipboard

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看剪贴板的内容。

18. 查看 IE 浏览器历史记录

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

借助 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查看 Internet Explorer 浏览器的历史记录。

19. 分析内存中的网络活动信息

volatility -f 1.vmem --profile=Win7SP1x64 netscan

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，分析内存中的网络活动信息。

20. 扫描和列举服务信息的插件

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

运用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，扫描并列举系统中的服务信息。

21. 查看恶意软件

volatility -f 1.vmem --profile=Win7SP1x64 malfind

使用 Volatility 工具分析1.vmem内存镜像文件，指定系统配置文件为Win7SP1x64，查找内存中的恶意软件迹象。

请留意，上述命令中的<address>、<key_path>和<pid>需依据实际状况进行替换。