Volatility2.6的使用-h：查看帮助-f：指定镜像imageinfo：获取当前内存镜像基本信息–profile：指定镜像对应系统相关命令后接参数：-p：指定PID-Q：指定内存地址-D/–dump-dir：指定导出目录-o：指定注册表的virtual地址volatility-f镜像参数命令示例：volatility-fXXX.raw--profil

0x00volatility介绍Volatility是一款非常强大的内存取证工具，它是由来自全世界的数百位知名安全专家合作开发的一套工具，可以用于windows，linux，macosx，android等系统内存取证。Volatility是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存

volatility内存取证的简单用法**可以使用kali，windows管理员权限运行.exe程序**一、常用命令格式命令格式：volatility-f文件名--profile=dump的系统版本命令volatility-fwin7.rawimageinfo##检测目标系统信息volatility-fwin7.raw--profile=Win7SPIx64pslist##

任务2：内存取证序号任务描述答案1从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password}形式提交(密码为6位)；2获取当前系统ip地址及主机名，以Flag{ip:主机名}形式提交；3当前系统中存在的挖矿进程，请获取指向的矿池地址，以Flag{ip}形式提交；4

一、环境安装1.kali下安装Volatility2注意：一般Volatility2比Volatility3好用wgethttps://bootstrap.pypa.io/pip/2.7/get-pip.pypython2get-pip.pypython2-mpipinstallCryptopython2-mpipinstallpycryptodomepython2-mpipinstallpytzpython2-