volatility3和volatility有很大的区别
查看镜像信息,volatility会进行分析 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.info</span>
查看进程 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.pslist</span>
或者 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.pstree</span>
列出缓冲池 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.bigpools.BigPools</span>
转储密码 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.cachedump.Cachedump</span>
,不过我这边没有成功,不知道原因
调出内存回调 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.callbacks.Callbacks</span>
查看进程命令行参数 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.cmdline.CmdLine</span>
不知道是干啥的,手册里没有给出描述,运行也报错 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.crashinfo.Crashinfo</span>
列出设备,乱码 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.devicetree.DeviceTree</span>
列出dll <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.dlllist.DllList</span>
列出驱动的irp <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.driverirp.DriverIrp</span>
扫描驱动 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.drivescan.DriverScan</span>
转储文件 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.dumpfiles.DumpFiles</span>
列出进程的环境变量 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.envars.Envars</span>
扫描文件 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.filescan.FileScan</span>
还是有乱码,可能是编码问题
列出tokensid <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.getservicesids.GetServiceSIDs</span>
列出每个进程的sid <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.getsids.GetSIDs</span>
列出进程句柄 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.handles.Handles</span>
列出用户哈希 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.hashdump.Hashdump</span>
不过我这个镜像没有
转储lsa密码,与cache类似 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.lsadump.Lsadump</span>
列出可能包含注入代码的进程内存范围 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.malfind.Malfind</span>
扫描并分析潜在的主引导记录 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mbrscan.MBRScan</span>
输出内存映射 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.memmap.Memmap</span>
扫描特定windows内存映像 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mftscan.MFTScan</span>
扫描模块 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.modscan.ModScan</span>
列出加载的内核模块 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.modules.Modules</span>
扫描互斥的mutex <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mutantscan.MutantScan</span>
扫描网络对象 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.netscan.NetScan</span>
输出网络状态 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.netstat.NetStat</span>
通用池扫描程序插件 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.poolscanner.PoolScanner</span>
列出进程token权限 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.privileges.Privs</span>
扫描进程 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.psscan.PsScan</span>
列出注册表证书存储中的证书 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.certificates.Certificates</span>
列出注册表配置单元 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.hivelist.HiveList</span>
扫描注册表配置单元 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.hivescan.HiveScan</span>
列出配置单元或特定键值下的注册表项 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.printkey.PrintKey</span>
打印userassist注册表项和信息 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.userassist.UserAssist</span>
列出从环境变量中提取会话信息的流程 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.sessions.Sessions</span>
查找骨架键恶意软件的迹象 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.skeleton_key_check.Skeleton_Key_Check</span>
无结果
列出系统调用表 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.ssdt.SSDT</span>
读取strings命令的输出,并指示每个字符串属于哪个进程 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.strings.Strings</span>
不会用
扫描服务 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.svcscan.SvcScan</span>
扫描链接 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.symlinkscan.SymlinkScan</span>
乱码
列出进程内存范围 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.vadinfo.VadInfo</span>
使用yara扫描所有虚拟地址描述符内存映射 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.vadyarascan.VadYaraScan</span>
报错
列出PE文件中的版本信息 <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.verinfo.VerInfo</span>
列出虚拟映射session <span class="ne-text">python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.virtmap.VirtMap</span>
Original: https://www.cnblogs.com/WXjzc/p/16294973.html
Author: WXjzc
Title: volatility3-windows插件
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/599349/
转载文章受原作者版权保护。转载请注明原作者出处!