volatility计算公式,volatility使用教程

Volatility入门指令篇：

Volatility-f name imageinfovolatility-f name PS list-profile=win xpsp 2 x 86列举进程：volatility-f name-profile=win xpsp 2 x 86 volsheldt( _ PEB )查看进程环境块volatility-f name-profile=win xpsp 2 x 86 hi velist列举缓存在内存的注册表：

hivedump打印出注册表中的数据：

　　volatility-f name-profile=win xpsp 2 x 86 hive dump-o注册表的虚拟的地址

显示每个进程的加载dll列表

　　volatility-f name-profile=win 7 sp0x 86 dlllist dll list。txt

获取SAM表中的用户：

　　volatility-f name-profile=win xpsp 2 x 86 print key-K SAM Domains Account Users Names

登陆账户系统

　　volatility-f name-profile=win xpsp 2 x 86 print key-K 软件 Microsoft Windows NT 当前版本 Winlogon

userassist键值包含系统或桌面执行文件的信息，如名称、路径、执行次数、最后一次执行时间等

　　volatility-f name-profile=win xpsp 2 x 86用户助手

将内存中的某个进程数据以 dmp 的格式保存出来

　　volatility-f name-profile=win xpsp 2 x 86-p[PID]-D[dump出的文件保存的目录]

提取内存中保留的 cmd 命令使用情况

　　volatility-f name-profile=win xpsp 2 x 86 cmdscan

获取到当时的网络连接情况

　　volatility-f name-profile=win xpsp 2 x 86 netscan

　　获取工业管理学(工业工程)浏览器的使用情况：

　　volatility-f name-profile=win xpsp 2 x 86 ie history

获取内存中的系统密码，可以使用 hashdump 将它提取出来

　　volatility-f name-profile=win xpsp 2 x 86哈希转储-y(注册表系统的虚拟的地址（山姆的虚拟的地址)volatility-f name-profile=win xpsp 2 x 86 hash dump-y0xe 1035 b 60-s0xe 16 aab 60 volatility-f name-profile=win xpsp 2 x 86 timeliner

对文件查找及dumo提取某个进程：

　　volatility-f name-profile=win 7 sp 1 x 64 memdump-D .-p 2872 strings-e l ./2872。DMP grep flag volatility-f name-profile=win 7 sp 1 x 64转储文件-Q0x 00000007 e 410890-n-dump-dir=./

HASH匹配用户账户名密码：

　　哈希，然后使用约翰文件名-格式=NT破解

安全进程扫描

　　volatility-f name-profile=win 7 sp 1 x 64 PS扫描

Flag字符串扫描：

　　字符串-e l 2616.dmp grep标志

查找图片：

　　volatility-f name-profile=win 7 sp 1 x 64文件can grep-E jpg png JPEG BMP gif volatility-f name-profile=win 7 sp 1 x 64 netscan

注册表解析

　　volatility-f name-profile=win 7 sp 1 x 64 hivelistvolatility-f name-profile=win 7 sp 1 x 64-o0x fffff 8 a 000024010 print key-K controlset 001 Control；