Volatility

Memory forensics framework

Основные команды (в порядке последовательности выполнения их)

  • imageinfo - определить профиль

  • pstree - дерево процессов

  • cmdline - аргументы процессов

  • procdump - сдампить ехешник

  • netscan - соединения

  • filescan - листить файлы

  • dumpfiles - доставать файлы

  • bioskbd - клавиатура

  • clipboard - буфер

  • consoles - история команд в консоли

  • hashdump - хеши паролей

  • iehistory - история IE

  • screenshot - скриншот

  • truecryptmaster

  • truecryptpassphrase

  • truecryptsummary

  • printkey - ключи реестра

Volatility Example Usage
volatility -f MyPC-a44c4946.vmem imageinfo
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 pstree
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 procdump --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 cmdline
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan | grep resume-vm-default.bat
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001df3f1b8 --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 netscan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 bioskbd
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 clipboard
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 consoles
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 screenshot --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 truecryptsummary

PreviousMimikatzNextProcess Hacker

Last updated