volatility#查询文件信息volatility imageinfo -f win.raw#查询数据库文件volatility -f win.raw --profile=Win7SP1x86volatility -f win.raw --profile=Win7SP1x86 pslist #查看进程信息volatility -f win.raw --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/ #dump进程内存到dumpdirvolatility -f win.raw --profile=Win7SP1x86 pstree #父进程和子进程关系#按虚内存地址查看注册表内容volatility -f win.raw --profile=Win7SP1x86 hivelistvolatility -f win.raw --profile=Win7SP1x86 hivedump -o 0x91fa1648 #根据虚内存dump注册表内容volatility -f win.raw --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558 #提取hash，-y跟system虚地址，-s跟sam虚地址#查看用户账号volatility -f win.raw --profile=Win7SP1x86 printkey -K "SAMDomainsAccountUsersNames" #用户列表volatility -f win.raw --profile=Win7SP1x86 printkey -K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" #最后登录的用户#正在运行的程序、运行过多少次、最后一次运行时间等volatility -f win.raw --profile=Win7SP1x86 userassist#命令历史volatility -f win.raw --profile=Win7SP1x86 cmdscan#网络连接volatility -f win.raw --profile=Win7SP1x86 netscan#IE历史volatility -f win.raw --profile=Win7SP1x86 iehistory# 使用 firefoxhistorymv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/volatility -f win.raw --profile=Win7SP1x86 firefoxhistory#USN 日志记录插件#NTFS 特性，用于跟踪硬盘内容变化（不记录具体变更内容）wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.pymv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/volatility -f win.raw --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv#Timeline 插件#从多个位置收集大量系统活动信息volatility -f win.raw --profile=Win7SP1x86 timeliner

#查看信息volatility -f xp.raw imageinfo#查看进程数，看看是否有可疑的地方volatility -f xp.raw --profile=WinXPSP3x86 pstree#查看网络连接，中招的话，通常会有些网络连接volatility -f xp.raw --profile=WinXPSP3x86 connscan#查看 SIDvolatility -f xp.raw --profile=WinXPSP3x86 getsids -p 1048 #上面网络连接中似乎可疑的#查看调用库的数量，恶意软件一般要么特别多，要么特别少volatility -f xp.raw --profile=WinXPSP3x86 dlllist -p 1048#这两步可以比较觉得可疑的#检查结果查毒volatility -f xp.raw --profile=WinXPSP3x86 malfind -p 1048 -D dumpdir#对觉得可疑的dmp进行查杀