[内存取证]Volatility基本用法
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[内存取证]Volatility基本用法相关的知识,希望对你有一定的参考价值。
参考技术A volatility -f memory imageinfo #查看系统版本volatility -f memory --profile=Win7SP1x64 pslist # 列出进程
volatility -f memory --profile=Win7SP1x64 cmdscan #查看cmd命令历史
volatility -f memory --profile=Win7SP1x64 filescan | grep flag #查找flag文件
volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./ #dump目标文件
volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names" #列出SAM表用户
volatility -f memory --profile=Win7SP1x64 hivelist #获取system和SAM地址
以上是关于[内存取证]Volatility基本用法的主要内容,如果未能解决你的问题,请参考以下文章
内存取证-volatility工具的使用 (史上更全教程,更全命令)