常用指令
常用指令
一、下载安装
Volatility:下载
解压后改名volatility_2.6_win64_standalone.exe为volatility直接可用
用cmd打开:
二、获取镜像信息(获取操作系统):
volatility -f [镜像文件绝对路径] imageinfo
一般选择第一个操作系统
三、验证操作系统:
volatility - f [镜像文件绝对路径] --profile= [操作系统] volshell
操作系统选择错误:
操作系统选择正确:
四、详细指令操作:跳转
五、附件下载:
- printkey -K “SAM\Domains\Account\Users\Names”(查询Windows中的用户)
- -o 0xfffff8a000024010 printkey -K “ControlSet001\Control\ComputerName\ComputerName”(查询当前主机名)
- hivelist查询地址
常用
直用功能:
- pslist:查看镜像的进程信息
- cmdscan:查看历史输入的命令(类似于history)
- netscan:扫描网络情况(网络端口,活跃IP及端口。。。)
- pslist:查看进程
- svcscan:查看服务
- iehistory:查看浏览器的历史记录
- psxview:看一些隐藏进程
- filescan:查找文件,搭配(|findstr或|grep使用)
- hashdump:获取各个账号的MD5加密密码
-
printkey -K "SAM\Domains\Account\Users\Names":查看所有用户名 -
printkey -K "ControlSet001\Control\ComputerName\ComputerName":查看主机名 - envars:查看环境变量(有可能在里面发现主机名)
- userassist:打印所有程序的 运行次数 和 最后运行时间
- clipboard:查看剪切板内容
- pstree:显示进程树