Volatility2.6的使用-h：查看帮助-f：指定镜像imageinfo：获取当前内存镜像基本信息–profile：指定镜像对应系统相关命令后接参数：-p：指定PID-Q：指定内存地址-D/–dump-dir：指定导出目录-o：指定注册表的virtual地址volatility-f镜像参数命令示例：volatility-fXXX.raw--profil

0x00volatility介绍Volatility是一款非常强大的内存取证工具，它是由来自全世界的数百位知名安全专家合作开发的一套工具，可以用于windows，linux，macosx，android等系统内存取证。Volatility是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存

easyraw!manypasswords!首先用volatility+mimikatz可以爆出windows账户密码das123admin321vol.py--plugins=./plugins-f./rawraw.raw--profile=Win7SP1x64mimikatz剪贴板中，有另一个密码DasrIa456sAdmIn987，用来解压mysecretfile.rarvol.py--plugins=./plugins-f

一、环境安装1.kali下安装Volatility2注意：一般Volatility2比Volatility3好用wgethttps://bootstrap.pypa.io/pip/2.7/get-pip.pypython2get-pip.pypython2-mpipinstallCryptopython2-mpipinstallpycryptodomepython2-mpipinstallpytzpython2-