Volatility

Memory forensics framework

Основные команды (в порядке последовательности выполнения их)

imageinfo - определить профиль
pstree - дерево процессов
cmdline - аргументы процессов
procdump - сдампить ехешник
netscan - соединения
filescan - листить файлы
dumpfiles - доставать файлы
bioskbd - клавиатура
clipboard - буфер
consoles - история команд в консоли
hashdump - хеши паролей
iehistory - история IE
screenshot - скриншот
truecryptmaster
truecryptpassphrase
truecryptsummary
printkey - ключи реестра

Volatility Example Usage

volatility -f MyPC-a44c4946.vmem imageinfo
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 pstree
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 procdump --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 cmdline
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan | grep resume-vm-default.bat
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001df3f1b8 --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 netscan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 bioskbd
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 clipboard
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 consoles
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 screenshot --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 truecryptsummary

PreviousMimikatz NextProcess Hacker

Last updated 6 years ago