命令格式:volatility -f <文件名> --profile=<配置文件> <插件> [插件参数]
例如:volatility -f 1.raw --profile=Win7SPx64 volshel
判断内存镜像系统版本信息
Volatility -f 文件 imageinfo
查看进程
Volatility -f 文件 --profile=版本号 pslist
查看启动项
Volatility -f 文件 --proflie=版本号 hivelist
查看sid
getsids -p指定pid pid704
截图,screenshot --dump-dir ./
内存地址,hivelist
查看开机自启程序, volatility_2.6.exe -f 1.raw --profile=Win7SP1x64 -o 0xfffff8a0008bb010 printkey -K "Microsoft\Windows\CurrentVersion\Run"
-o指定内存地址 -K指定路径
