# Volatility

Основные команды (в порядке последовательности выполнения их)

* imageinfo - определить профиль 
* pstree - дерево процессов 
* cmdline - аргументы процессов 
* procdump - сдампить ехешник 
* netscan - соединения 
* filescan - листить файлы 
* dumpfiles - доставать файлы 
* bioskbd - клавиатура 
* clipboard - буфер 
* consoles - история команд в консоли
*  hashdump - хеши паролей 
* iehistory - история IE 
* screenshot - скриншот 
* truecryptmaster 
* truecryptpassphrase 
* truecryptsummary 
* printkey - ключи реестра

{% code title="Volatility Example Usage" %}

```bash
volatility -f MyPC-a44c4946.vmem imageinfo
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 pstree
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 procdump --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 cmdline
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan | grep resume-vm-default.bat
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001df3f1b8 --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 netscan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 bioskbd
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 clipboard
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 consoles
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 screenshot --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 truecryptsummary
```

{% endcode %}