Volatility工具指令篇
发表于:2025-02-22 作者:千家信息网编辑
千家信息网最后更新 2025年02月22日,Volatility入门指令篇:Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:v
千家信息网最后更新 2025年02月22日Volatility工具指令篇
Volatility入门指令篇:
Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:volatility -f name --profile=WinXPSP2x86 volshelldt("_PEB") 查看进程环境块volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 :
hivedump打印出注册表中的数据 :
volatility -f name --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
显示每个进程的加载dll列表
Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt
获取SAM表中的用户:
volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"
登陆账户系统
volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
volatility -f name --profile=WinXPSP2x86 userassist
将内存中的某个进程数据以 dmp 的格式保存出来
volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
提取内存中保留的 cmd 命令使用情况
volatility -f name --profile=WinXPSP2x86 cmdscan
获取到当时的网络连接情况
volatility -f name --profile=WinXPSP2x86 netscan
获取 IE 浏览器的使用情况 :
volatility -f name --profile=WinXPSP2x86 iehistory
获取内存中的系统密码,可以使用 hashdump 将它提取出来
volatility -f name --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60volatility -f name --profile=WinXPSP2x86 timeliner
对文件查找及dumo提取某个进程:
volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872strings -e l ./2872.dmp | grep flagvolatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./
HASH匹配用户账户名密码:
Hash, 然后使用john filename --format=NT破解
安全进程扫描
volatility -f name --profile=Win7SP1x64 psscan
Flag字符串扫描:
strings -e l 2616.dmp | grep flag
查找图片:
volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gifvolatility -f name --profile=Win7SP1x64 netscan
注册表解析
volatility -f name --profile=Win7SP1x64 hivelistvolatility -f name --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"
复制、剪切版:
volatility -f name --profile=Win7SP1x64 clipboardvolatility -f name --profile=Win7SP1x64 dlllist -p 3820
Dump所有进程:
volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .利用字符串查找downloadpython vol.py -f name --profile=Win7SP1x86 shimcache
svcscan查看服务
python vol.py -f name --profile=Win7SP1x86 svcscan
modules 查看内核驱动modscan、driverscan 可查看一些隐藏的内核驱动ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后"执行"时间.
进程
注册表
内存
文件
地址
情况
时间
系统
内核
字符
字符串
密码
数据
用户
账户
路径
驱动
指令
安全
信息
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
中国网络安全市场集中度
统计局网络安全保障
大学生网络安全信息素养报告
江西家用软件开发制造价格
与网络安全有关的创意
网络安全法执法部门协调
网络安全大赛训练
vnc服务器改密码
广州拜登网络技术有限公司
软件开发人员35岁以后
显示服务器内部出错
门禁服务器的安全防护
小蝌蚪互联网科技
sql数据库安装图
django 清空数据库
幼教网络安全教育知识
系统数据是如何跟数据库进行交互
云智能会议电视终端软件开发
软件开发公司都有哪些岗位
北京泰茂软件开发有限公司
江西家用软件开发制造价格
2017年网络安全政策
网络安全四个的美术体
对方域名如何访问ftp服务器
全球软件开发大会2016
现代网络技术的虚拟仿真
计算机网络安全技术
软件开发599.99啥意思
数据库二进制文件
小型软件开发计划书
