下載安裝

官網(wǎng)下載即可：

https://www.volatilityfoundation.org/releases網(wǎng)址

Windows環(huán)境下下載軟件包

直接輸入CMD打開(kāi)使用（簡(jiǎn)單方便）

真題操練

只需將鏡像拖入

判斷未知內(nèi)存鏡像系統(tǒng)版本信息

volatility -f 文件路徑 imageinfo

kali下解析

命令：pslist/pstree/psscan :非常有用的插件，列出轉(zhuǎn)儲(chǔ)時(shí)運(yùn)行的進(jìn)程的詳細(xì)信息；顯示過(guò)程ID，該父進(jìn)程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時(shí)間時(shí)，過(guò)程開(kāi)始和退出

pslist無(wú)法顯示隱藏/終止進(jìn)程

導(dǎo)出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

任何數(shù)據(jù)都可以導(dǎo)出，然后進(jìn)行使用

比如：導(dǎo)出“查看服務(wù)（svcscan）”的數(shù)據(jù)

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

Kali下

命令：hivelist：查看緩存在內(nèi)存的注冊(cè)表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

volatility -f bb.raw --profile=Win7SP1x86_23418hashdump

命令：getsids：查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

計(jì)算機(jī)名稱

導(dǎo)出注冊(cè)表

發(fā)現(xiàn)SYSTEM是注冊(cè)表信息，用WRR打開(kāi)

注冊(cè)表內(nèi)USB

借鑒//www.doc88.com/p-9107655008710.html?r=1

打印機(jī)在注冊(cè)表中的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默認(rèn)瀏覽器 注冊(cè)表

命令：查看瀏覽器歷史記錄

volatility -f D:電子取證備賽memdump.mem--profile=Win7SP1x86_23418

Kali下

命令：查看服務(wù) svcscan

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418svcscan

建議導(dǎo)出查看，數(shù)據(jù)量大

命令：查看運(yùn)行程序相關(guān)的記錄，比如最后一次更新時(shí)間，運(yùn)行過(guò)的次數(shù)等 userassist

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 userassist

命令：查看網(wǎng)絡(luò)連接 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 netscan

命令：查看文件 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 filescan

建議導(dǎo)出查看，數(shù)據(jù)量大

命令：獲取SAM表中的用戶

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 printkey

編輯：黃飛