可以用的文件后缀:.vmem / .dump / .raw / .img
vol.py --info 可以查看插件
python2 vol.py mem.dump imageinfo
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pslist
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstree
vol.py -f memory.raw --profile=Win7SP1x64 filescan
查找特定后缀的文件:
vol.py -f example.raw --profile=Win7SP1x64 filescan | grep -E 'txt|png|jpg|gif|zip|rar|7z|pdf|doc'
查找指定文件夹下的文件:
volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User
使用dumpfiles爆破文件内容:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir=./
通过memdump爆破出进程对应的信息:
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3036 --dump-dir=./
vol.py -f memory.raw --profile=Win7SP1x64 envars
vol.py -f memory.raw --profile=Win7SP1x64 cmdscan
vol.py -f memory.raw --profile=Win7SP1x64 cmdline
#可使用-p参数指定PID号
vol.py -f memory.img --profile=Win2003SP1x86 dlllist
vol.py -f memory.img --profile=Win2003SP1x86 ldrmodules
vol.py -f memory.img --profile=Win2003SP1x86 malfind
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 hashdump
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey
vol.py -f memory.raw --profile=Win7SP1x64 hivelist
vol.py -f memory.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a001cce010(注册表Volatility地址)
vol.py -f memory.raw --profile=Win7SP1x64 svcscan
vol.py -f memory.raw --profile=Win7SP1x64 svcscan
vol.py -f 1.vmem --profile=Win7SP1x64 iehistory
vol.py -f 1.vmem --profile=Win7SP1x64 notepad
vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./
vol.py -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./
vol.py -f 1.vmem --profile=Win7SP1x64 userassist
vol.py -f 1.vmem --profile=Win7SP1x64 timeliner
调用插件:vol.py [plugins] -f example.raw --profile=Win7SP1x64 [插件名]
使用mimikatz插件快速获取用户密码:
vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f mem.dump --profile=Win7SP1x64 mimikatz
使用ndispktscan插件搜索内核的网络流量包信息:
vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f OtterCTF.vmem --profile=Win7SP1x64 ndispktscan
使用VolDiff进行恶意软件检测(单独使用)