volatillity常用命令大全

Volatility是一款开源的内存取证框架，支持Windows、Linux和Mac OS X等操作系统，能够对导出的内存镜像进行分析。那么来看看volatillity常用命令大全通过使用Volatility，可以获取内核数据结构、使用插件获取内存的详细情况以及系统的运行状态。

目前本教程不教volatility安装方法，由于本工具安装过于麻烦，建议大家直接安装kali2019虚拟机。2019版本自带这个工具

以下是命令大全

volatility -f winxp.raw imageinfo                      # 查询镜像基本信息
volatility -f winxp.raw --profile=WinXPSP3x86 pstree   # 查运行进程进程树
volatility -f winxp.raw --profile=WinXPSP3x86 pslist   # 查正在运行的进程
volatility -f winxp.raw --profile=WinXPSP3x86 memdump -p 324 --dump-dir=/home/lyshark    # 将PID=324的进程dump出来
volatility -f winxp.raw --profile=WinXPSP3x86 procdump -p 324 --dump-dir=/home/lyshark   # 将PID=324进程导出为exe
volatility -f winxp.raw --profile=WinXPSP3x86 dlldump -p 324 --dump-dir=/home/lyshark    # 将PID=324进程的所有DLL导出
 
volatility -f winxp.raw --profile=WinXPSP3x86 getsids -p 324  # 查询指定进程的SID
volatility -f winxp.raw --profile=WinXPSP3x86 dlllist -p 324  # 查询指定进程加载过的DLL
volatility -f winxp.raw --profile=WinXPSP3x86 threads -p 324  # 列出当前进程中活跃的线程
volatility -f winxp.raw --profile=WinXPSP3x86 drivermodule    # 列出目标中驱动加载情况
volatility -f winxp.raw --profile=WinXPSP3x86 malfind -p 324 -D /home/lyshark   # 检索内存读写执行页
 
volatility -f winxp.raw --profile=WinXPSP3x86 iehistory # 检索IE浏览器历史记录
volatility -f winxp.raw --profile=WinXPSP3x86 joblinks  # 检索计划任务
volatility -f winxp.raw --profile=WinXPSP3x86 cmdscan   # 只能检索命令行历史
volatility -f winxp.raw --profile=WinXPSP3x86 consoles  # 抓取控制台下执行的命令以及回显数据
volatility -f winxp.raw --profile=WinXPSP3x86 cmdline   # 列出所有命令行下运行的程序
 
volatility -f winxp.raw --profile=WinXPSP3x86 connscan    # 检索已经建立的网络链接
volatility -f winxp.raw --profile=WinXPSP3x86 connections # 检索已经建立的网络链接
volatility -f winxp.raw --profile=WinXPSP3x86 netscan     # 检索所有网络连接情况
volatility -f winxp.raw --profile=WinXPSP3x86 sockscan    # TrueCrypt摘要TrueCrypt摘要
 
volatility -f winxp.raw --profile=WinXPSP3x86 timeliner # 尽可能多的发现目标主机痕迹
 
volatility -f winxp.raw --profile=WinXPSP3x86 hivelist                                       # 检索所有注册表蜂巢
volatility -f winxp.raw --profile=WinXPSP3x86 hivedump -o 0xe144f758                         # 检索SAM注册表键值对
volatility -f winxp.raw --profile=WinXPSP3x86 printkey -K "SAM\Domains\Account\Users\Names"  # 检索注册表中账号密码
volatility -f winxp.raw --profile=WinXPSP3x86 hashdump -y system地址 -s SAM地址               # dump目标账号Hash值
volatility -f winxp.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  # 查最后登录的用户
 
volatility -f winxp.raw --profile=WinXPSP3x86 userassist                                     # 查询程序运行次数

演示图

pslist：列出所有进程。
psscan：列出所有扫描到的进程。
pstree：列出所有进程树。
psxview：显示所有进程的详细信息。
psscan --profile=<配置文件>：根据配置文件分析进程。
psxview --profile=<配置文件>：根据配置文件分析进程详细信息。
pidscan：列出所有活动进程的PID。
pid704：列出所有活动进程的PID，并显示其完整路径。
hivelist：列出所有缓存在内存中的注册表。
hive <hive>：加载特定的注册表分枝。
printkey <address>：打印给定地址的键。
screenshot --dump-dir ./：截图，并将图片保存在指定目录下。
volshel：查看内存中的Shellcode（恶意代码）。
netscan：查看网络连接信息。
imageinfo：查看内存镜像信息，包括系统版本等。
volshell：进入交互式内存取证shell，可以查看和分析内存中的各种信息。
pslist --pid=<PID>：列出指定PID的进程信息。
psxview --pid=<PID>：列出指定PID的进程详细信息。
netscan --tcp：查看TCP网络连接信息。
netscan --udp：查看UDP网络连接信息。
netscan --ip：查看IP网络连接信息。
netscan --port=<port>：查看指定端口的网络连接信息。
netscan --host=<IP>：查看指定IP的网络连接信息。
netscan --protocol=<protocol>：查看指定协议的网络连接信息。