在学习volalitity的过程中，发现国内相关资源还是很有限的，并且没有一个综合的使用教程，一般都是指令不全或者没有其他的使用介绍（如添加插件，手动制作profile等），所以我在学习的过程中把用到的资源整理了一下，方便大家学习，如果有问题，欢迎各位师傅一起讨论。相关工具已经放入每日一练的工具箱里

对于使用volalitity的建议和常见问题：

    建议1.在进行内存取证的时候将vol2和vol3进行结合使用，vol2能弥补3插件不足，3能弥补2的速度慢，但在做题的过程中，需要两个结合使用。

    建议2.在搭建环境的时候，最好将linux和windows的环境都配置好，如果能有一台linux机器配置的话更好，但是更建议使用wsl来实现双系统的vol使用，尤其将Linux的一些管道指令用在输出结果中，有奇效。

常见问题1.在配置linux的python2的时候可以看这个：kali linux 中python2不带pip的解决方法python2没有pip程序员届的小白菜的博客-CSDN博客

常见问题2.没有Python.h库，要安装相应的python环境，可以看这个：解决fatal error: Python.h: No such file or directory报错_呆萌的代Ma的博客-CSDN博客

常见问题3.没有Crypto.Hash库文件，在python中，Crypto库是pycrypto，使用方法可以看：今日排错---开发者平台加签pthon报错修复 - 骁珺在努力 - 博客园

vol官方的插件

• GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

vol的下载地址

• Release Downloads | Volatility Foundation

vol2和vol3各种指令对比

• https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet

vol2的常用指令

• 内存取证-volatility工具的使用 （史上更全教程，更全命令）_路baby的博客-CSDN博客

vol2的各种外置插件

• volatility2各类外部插件使用简介volatility插件Blus.King的博客-CSDN博客

手动添加profile

• Linux内存取证制作Volatility的专属profile - 简书

可以解析mac和linux内存的插件

vol2：

• https://github.com/volatilityfoundation/profiles

vol3：

• https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip

• https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip

• https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

本文对上面网站内容进行翻译和整理，整合出了下面的Volalitity的使用指南

Volalitity的使用指南

1.操作系统信息查看

vol2:

./vol.py -f file.dmp imageinfo

vol3:

./vol.py -f file.dmp windows.info.Info

在 vol3 中可以使用插件 banners.Banners 尝试在转储文件中找到 Linux 系统的标识信息。

2.哈希值/密码提取: SAM 哈希、域缓存凭据和 LSA 密码

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码

vol3:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码

3.内存转储

vol2:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

进程的内存转储将提取进程当前状态的所有内容。而 procdump 模块只会提取代码。

4.进程信息

列出进程

尝试查找可疑进程（通过名称）或意外的子进程（例如，cmd.exe 作为 iexplorer.exe 的子进程）。将 pslist 的结果与 psscan 的结果进行比较，以识别隐藏的进程。

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表

vol3:

python3 vol.py -f file.dmp windows.pstree.PsTree # 获取进程树（非隐藏）python3 vol.py -f file.dmp windows.pslist.PsList # 获取进程列表（EPROCESS）python3 vol.py -f file.dmp windows.psscan.PsScan # 获取隐藏进程列表（恶意软件）

转储进程

vol2:

volatility --profile=Win7SP1x86_23418 procdump --pid=3152 -n --dump-dir=. -f file.dmp

vol3:

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

命令行

vol2:

./vol.py -f file.dmp imageinfo0

vol3:

./vol.py -f file.dmp imageinfo1

在 cmd.exe 中执行的命令由 **conhost.exe**（或者在 Windows 7 之前的系统中是 csrss.exe）管理。这意味着，如果 **cmd.exe** 被攻击者在获取内存转储之前终止，仍然可以从 **conhost.exe** 的内存中恢复该会话的命令历史。为此，如果检测到控制台模块中的异常活动，应转储与之关联的 **conhost.exe** 进程的内存。然后，通过在此转储中搜索字符串，可以提取会话中使用的命令行。

环境变量

获取每个正在运行的进程的环境变量。

vol2:

./vol.py -f file.dmp imageinfo2

vol3:

./vol.py -f file.dmp imageinfo3

Token privileges

检查意外服务中的权限令牌。列出使用某些权限令牌的进程。

vol2:

./vol.py -f file.dmp imageinfo4

vol3:

./vol.py -f file.dmp imageinfo5

SIDs

检查每个进程拥有的 SSID。列出使用权限 SID（或使用某些服务 SID）的进程。

vol2:

./vol.py -f file.dmp imageinfo6

vol3:

./vol.py -f file.dmp imageinfo7

句柄

了解进程拥有的句柄（已打开的文件、注册表项、线程、进程等）。

vol2:

./vol.py -f file.dmp imageinfo8

vol3:

./vol.py -f file.dmp imageinfo9

DLLs

vol2:

./vol.py -f file.dmp windows.info.Info0

vol3:

./vol.py -f file.dmp windows.info.Info1

按进程查看字符串

Volatility 可以检查字符串属于哪个进程。

vol2:

./vol.py -f file.dmp windows.info.Info2

vol3:

./vol.py -f file.dmp windows.info.Info3

它还允许使用 yarascan 模块在进程中搜索字符串：

vol2:

./vol.py -f file.dmp windows.info.Info4

vol3:

./vol.py -f file.dmp windows.info.Info5

UserAssist

Windows 使用注册表中的 UserAssist 键 追踪你运行过的程序。这些键记录每个程序执行的次数以及最后一次运行的时间。

vol2:

./vol.py -f file.dmp windows.info.Info6

vol3:

./vol.py -f file.dmp windows.info.Info7

5.服务

vol2:

./vol.py -f file.dmp windows.info.Info8

vol3:

./vol.py -f file.dmp windows.info.Info9

6.网络

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码0

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码1

7. 注册表

打印可用的注册表 Hive

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码2

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码3

获取一个注册表值

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码4

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码5

转储注册表

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码6

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

8. 文件系统

挂载

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码8

vol3:

扫描/转储文件

vol2:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码9

vol3:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码0

主文件表

vol2:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码1

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

NTFS 文件系统使用一个关键组件，称为主文件表（MFT）。该表至少为每个文件提供一个条目，也包括 MFT 本身。每个文件的关键信息，如大小、时间戳、权限以及实际数据，通常会在 MFT 条目中或通过 MFT 条目引用的外部区域中封装。有关更多细节，可以参考官方文档。

SSL 密钥/证书

vol2:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码3

vol3:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码4

下面内容来自：盘古石虎贲小队文章：

9.加密容器解密

tc内存解密

使用volatility分析内存镜像来识别加密容器文件

Volatility是专门用于分析内存镜像的工具，在Volatility中，用于分析TrueCrypt的插件主要有三个：truecryptmaster、truecryptpassphrase、truecryptsummary。

Truecryptmaster：用于从内存镜像中恢复TrueCrypt 7.1a主密钥；

Truecryptpassphrase：用于从内存镜像中查找缓存密码；

Truecryptsummary：TrueCrypt摘要。

执行命令“volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile Win10x64_14393 truecryptsummary”如下图所示：

在上图中，不仅分析到了TrueCrypt的进程PID和加密容器文件路径、文件名，还可以分析出加密容器挂载的盘符和容器内的文件。

bitlocker解密

1）下载安装bitlocker.py

下载链接：https://github.com/tribalchicken/volatility-bitlocker

下载后将bitlocker.py放入kali虚拟机的/usr/lib/python2.7/dist-packages/volatility/plugins目录下。

2）下载安装bdemount

在kali里执行sudo add-apt-repository universe和sudo apt install libbde-utils即可自动完成bdemount的安装，安装后在命令行输入bdemount后会有返回。Bdemount的具体用法如下：

bdemount [-k keys] [-o offset] [-p password] [-r password] -s filename [-hvV] source

参数：

-k  密钥，例如：FVEK:TWEAK

-o  以字节为单位指定卷偏移

-p  指定密码

-r  指定恢复密码

-s  指定包含启动密钥的文件，该文件扩展名为.BEK

3）在kali里通过volatility与bitlocker.py插件提取内存镜像内的FVEK和TWEAK，执行命令 “volatility -f memdump.mem --profile=Win7SP1x64  bitlocker”，执行完成后科技获取到FVEK为：0d393d80bf512f5e501a8bfad3272965，TWEAK为：cf71859b45775123fcc1dad3007d1c41，如下图所示：

提取FVEK和TWEAK

4）使用bdemount命令挂载Bitlocker加密分区，执行命令“bdemount -k 0d393d80bf512f5e501a8bfad3272965:cf71859b45775123fcc1dad3007d1c41  D.dd ./crypt-1”，如下图所示：

挂载Bitlocker加密容器

5）通过bdemount挂载后，可在挂载点crypt-1下得到的文件bde1，这个文件是一个整体文件，需要二次挂载，执行命令“sudo mount.ntfs-3g -o loop,ro crypt-1/bde1  crypt-2/”即可挂载，因为Bitlocker是Windows自带加密容器，文件系统格式为NTFS，因此需要使用“mount.ntfs-3g”挂载，二次挂载后，在挂载点crypt2下就可以得到Bitlocker加密容器内的文件，如下图所示：

手动解密后的Bitlocker加密分区

6）至此，Bitlocker手动解密全部完成。

综上所示，我们在进行Bitlocker取证时，可以通过查看系统分区图标、签名标识“-FVE-FS-”和取证工具来识别Bitlocker加密容器。Bitlocker的取证主要可以通过密码解密、恢复密钥解密和内存镜像解密。

10.恶意软件分析

vol2:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码5

vol3:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码6

使用 YARA 扫描

使用此脚本从 GitHub 下载并合并所有 YARA 恶意软件规则：https://gist.github.com/andreafortuna/29c6ea48adf下面是安装方法

vol2:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码7

vol3:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码8

11. 其他工具

外部插件

如果您想使用外部插件，请确保插件文件夹是第一个参数。

vol2:

./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码9

vol3:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/0

自动运行（Autoruns）

Download it from https://github.com/tomchop/volatility-autoruns

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/1

互斥锁（Mutexes）

vol2:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/2

vol3:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/3

符号链接（Symlinks）

vol2:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/4

vol3:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/5

Bash 历史

可以 从内存中读取 Bash 历史。虽然您也可以转储 .bash_history 文件，但由于它被禁用，您可以使用此 Volatility 模块。

vol2:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/6

vol3:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/7

时间线（TimeLine）

vol2:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/8

vol3:

./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/9

驱动程序（Drivers）

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表0

vol3:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表1

获取剪贴板内容

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表2

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

获取 Internet Explorer 历史

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表4

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

获取记事本文本

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表6

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

截屏（Screenshot）

vol2:

volatility --profile=PROFILE pstree -f file.dmp # 获取进程树（非隐藏）volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表（EPROCESS）volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表（恶意软件）volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表8

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

主引导记录（MBR）

vol2:

python3 vol.py -f file.dmp windows.pstree.PsTree # 获取进程树（非隐藏）python3 vol.py -f file.dmp windows.pslist.PsList # 获取进程列表（EPROCESS）python3 vol.py -f file.dmp windows.psscan.PsScan # 获取隐藏进程列表（恶意软件）0

vol3:

./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希（SAM+SYSTEM）./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码7

主引导记录（MBR） 在管理存储介质的逻辑分区中扮演着至关重要的角色。它不仅包含分区布局信息，还包含作为引导加载程序的可执行代码。该引导加载程序要么直接启动操作系统的二阶段加载过程（参见 二阶段引导加载程序），要么与每个分区的 卷引导记录（VBR）协同工作。如需深入了解，请参阅 MBR 维基页面。

vol2默认插件一览

python3 vol.py -f file.dmp windows.pstree.PsTree # 获取进程树（非隐藏）python3 vol.py -f file.dmp windows.pslist.PsList # 获取进程列表（EPROCESS）python3 vol.py -f file.dmp windows.psscan.PsScan # 获取隐藏进程列表（恶意软件）2

vol3默认插件一览

python3 vol.py -f file.dmp windows.pstree.PsTree # 获取进程树（非隐藏）python3 vol.py -f file.dmp windows.pslist.PsList # 获取进程列表（EPROCESS）python3 vol.py -f file.dmp windows.psscan.PsScan # 获取隐藏进程列表（恶意软件）3