Volatility2.6的使用

-h：查看帮助

-f：指定镜像

imageinfo：获取当前内存镜像基本信息

–profile：指定镜像对应系统

相关命令后接参数：

-p：指定PID

-Q：指定内存地址

-D/–dump-dir：指定导出目录

-o：指定注册表的virtual地址

volatility -f 镜像 参数 命令
示例：volatility -f XXX.raw --profile=Win7SP1x64 pslist

常用命令

imageinfo #查看镜像系统信息 使用对应版本的镜像，后面的参数使用–profile(两根横杠) --profile=Win7SP1x64

python2 volatility-master/vol.py -f 1.vmem imageinfo

pslist #看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pslist

psxview #可查看一些隐藏进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 psxview

pstree #以树的形式来列出正在进行的进程，不会显示出隐藏或未链接的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pstree
显示进程权限
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 privs

cmdscan #查看镜像的历史命令，就是和linux中history差不多。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscan

consoles #这个会比上面那个更好一些，能看到指令的输入和输出。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 consoles

cmdline #此指令将会列出所有命令行下运行的程序

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdline

cmdscan #提取内存中保留的 cmd 命令使用情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscsan

dlllist #显示每个进程的加载dll列表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dlllist

netscan #获取到当时的网络连接情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 netscan
补充：
1、LISTENING状态
　　服务启动后首先处于侦听（LISTENING）状态。

2、ESTABLISHED状态
　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。

svcscan #查看服务

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 svcscan

modules #查看内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modules

modscan/driverscan #可查看一些隐藏的内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modscan/driverscan  #可查看一些隐藏的内核驱动

ShimCache #来识别应用程序兼容性问题。跟踪文件路径，大小，最后修改时间和最后“执行”时间.

privs #显示进程权限
envars #显示环境变量

filescan #查找文件，可搭配 grep | "xxx" / filescan | grep -E “png”

memdump -p [PID] -D 保存目录 #通过相应的进程能直接dump出相关的文件。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .

dumpfiles -Q [16进制位置] -D 保存目录 #通过16进制位置dump出相关的文件。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70  -D . 

editbox #查看系统正在运行的编辑本
dumpregistry -D 保存目录 #导出系统的注册表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .

screenshot -D 保存目录 #查看并导出屏幕的截屏【需要安装PIL库】

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .

clipboard #查看剪贴板数据，加一个-v可以导出相关的数据。
iehistory #查看浏览器的历史记录

printkey -K "SAM\Domains\Account\Users\Names" #查看用户名

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
查看计算机名
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"  

printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #打印出最后登录的用户
hashdump #获取各个账号的MD5加密密码

利用hashdump和mimikatz破解账户密码

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump

可以看到administrator和test的账户密码是空密码，admin的则是有数据的。

如果装了mimikatz插件的可以直接破解出明文的密码，这边不知道为啥没出来很奇怪。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz

hivelist #获取注册表单元配置列表

找出获取system 的 virtual 地址，SAM 的 virtual 地址，然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual. （通过hivelist找出用户）