Volatility内存分析工具使用

常用插件

imageinfo：显示目标镜像的摘要信息，这常常是第一步，获取内存的操作系统类型及版本，之后可以在 –profile 中带上对应的操作系统，后续操作都要带上这一参数

pslist：该插件列举出系统进程，但它不能检测到隐藏或者解链的进程，psscan可以

pstree：以树的形式查看进程列表，和pslist一样，也无法检测隐藏或解链的进程

psscan：可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

cmdscan：可用于查看终端记录

cmdline：提取执行的命令行历史记录（扫描_COMMAND_HISTORY信息）

consoles：获取cmd输出

notepad：查看当前展示的 notepad 文本（–profile=winxp啥的低版本可以，win7的不行，可以尝试使用editbox）

filescan：扫描所有的文件列表

linux配合 grep 命令进行相关字符定向扫描，如：grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’

dumpfiles：导出某一文件(指定虚拟地址)需要指定偏移量 -Q 和输出目录 -D

memdump：提取出指定进程，常用foremost 来分离里面的文件需要指定进程-p [pid] 和输出目录 -D

procdump：将指定进程以执行文件形式提取，一般用于执行文件进程的提取，需指定进程-p[pid] 和指定输出目录 -D

editbox：显示有关编辑控件（曾经编辑过的内容）的信息

screenshot：保存基于GDI窗口的伪截屏

clipboard：查看剪贴板信息

iehistory：检索IE浏览器历史记录

systeminfo：显示关于计算机及其操作系统的详细配置信息（插件）

hashdump：查看当前操作系统中的 password hash，例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)

lsadump：对密码进行爆破查看

mftparser：恢复被删除的文件

svcscan：扫描 Windows 的服务

connscan/netscan：查看网络连接

envars：查看环境变量

dlllist: 列出某一进程加载的所有dll文件

hivelist: 列出所有的注册表项及其虚拟地址和物理地址

hivedump: 查询对应键名，需要指定注册表项的虚地址 -o 0xxxxxx

timeliner: 将所有操作系统事件以时间线的方式展开