Volatility工具指令篇
发表于:2025-01-19 作者:千家信息网编辑
千家信息网最后更新 2025年01月19日,Volatility入门指令篇:Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:v
千家信息网最后更新 2025年01月19日Volatility工具指令篇
Volatility入门指令篇:
Volatility -f name imageinfovolatility -f name pslist --profile=WinXPSP2x86 列举进程:volatility -f name --profile=WinXPSP2x86 volshelldt("_PEB") 查看进程环境块volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 :
hivedump打印出注册表中的数据 :
volatility -f name --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
显示每个进程的加载dll列表
Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt
获取SAM表中的用户:
volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"
登陆账户系统
volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
volatility -f name --profile=WinXPSP2x86 userassist
将内存中的某个进程数据以 dmp 的格式保存出来
volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
提取内存中保留的 cmd 命令使用情况
volatility -f name --profile=WinXPSP2x86 cmdscan
获取到当时的网络连接情况
volatility -f name --profile=WinXPSP2x86 netscan
获取 IE 浏览器的使用情况 :
volatility -f name --profile=WinXPSP2x86 iehistory
获取内存中的系统密码,可以使用 hashdump 将它提取出来
volatility -f name --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60volatility -f name --profile=WinXPSP2x86 timeliner
对文件查找及dumo提取某个进程:
volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872strings -e l ./2872.dmp | grep flagvolatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./
HASH匹配用户账户名密码:
Hash, 然后使用john filename --format=NT破解
安全进程扫描
volatility -f name --profile=Win7SP1x64 psscan
Flag字符串扫描:
strings -e l 2616.dmp | grep flag
查找图片:
volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gifvolatility -f name --profile=Win7SP1x64 netscan
注册表解析
volatility -f name --profile=Win7SP1x64 hivelistvolatility -f name --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"
复制、剪切版:
volatility -f name --profile=Win7SP1x64 clipboardvolatility -f name --profile=Win7SP1x64 dlllist -p 3820
Dump所有进程:
volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .利用字符串查找downloadpython vol.py -f name --profile=Win7SP1x86 shimcache
svcscan查看服务
python vol.py -f name --profile=Win7SP1x86 svcscan
modules 查看内核驱动modscan、driverscan 可查看一些隐藏的内核驱动ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后"执行"时间.
进程
注册表
内存
文件
地址
情况
时间
系统
内核
字符
字符串
密码
数据
用户
账户
路径
驱动
指令
安全
信息
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
上海智能化软件开发定制平均价格
视频软件开发的上市公司
科技互联网ppt模板
mcpe服务器租用
数据库安装太慢咋办
手机安全数据库
剖析网络安全典型案例
软件开发店铺名
麒麟润网络技术有限公司
中国网络安全大赛最强战队
武汉市网络安全产业
区块链技术实战数据库同步
麻将软件开发上海公司
pdq是事实数据库吗
服务器一般选用什么cpu
如何参加网络安全比赛
新手学数据库建议
广东创新服务器厂家
北京常见软件开发价目表
软件开发当前形势及发展趋势
抖音做软件开发
戴尔服务器拔掉硬盘报警
现成学生选课数据库
软件开发公司的营业范围
校园网络安全项目简介
数据库基础及应用 道客
app软件开发外包怎样收费
网络安全及如何应对
众恒全华网络技术(山西)
我的世界春节建筑服务器
