以下的【Win7SP1x64】皆为操作系统名称
获取内存操作系统
volatility -f 文件名 imageinfo
内存网络扫描 –profile参数指定镜像
volatility -f 文件名 --profile=Win7SP1x64 netscan
读取cmd命令
volatility -f 文件名 --profile=Win7SP1x64 amdscan
列举内存进程
volatility -f 文件名 --profile=Win7SP1x64 pslist
列举内存注册表
volatility -f 文件名 --profile=Win7SP1x64 hivelist
解析指定的注册表
volatility -f 文件名 --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey
获取主机名
volatility -f 文件名 --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “ControlSet001\Control\ComputerName\ComputerName”
获取windows主机用户名
volatility -f 文件名 --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “SAM\Domains\Account\Users\Names”
抓取用户密码
volatility -f 文件名 mimikatz
文件扫描
volatility -f 文件名 filescan
配合grep文件扫描
volatility -f 文件名 filescan | grep “关键字”