注:命令基本格式为 volatility -f [内存镜像文件] --profile=[系统配置文件] [插件命令] , profile 需匹配镜像的系统版本(如 Win7SP1x64 )
一、 基础信息识别
1. imageinfo
作用:分析内存镜像,推荐适配的 profile
命令: volatility -f [镜像文件] imageinfo
2. kdbgscan
作用:扫描内核调试器信息,辅助确认 profile
命令: volatility -f [镜像文件] --profile=[profile] kdbgscan
二、 进程分析
1. pslist
作用:列出系统中运行的进程(较基础,易被恶意软件隐藏)
命令: volatility -f [镜像文件] --profile=[profile] pslist
2. psscan
作用:扫描内存中的进程,可发现被隐藏的进程
命令: volatility -f [镜像文件] --profile=[profile] psscan
3. pstree
作用:以树状结构展示进程父子关系,便于分析恶意进程的启动链
命令: volatility -f [镜像文件] --profile=[profile] pstree
三、 内存数据提取
1. memdump
作用:提取指定进程的内存数据到文件
命令: volatility -f [镜像文件] --profile=[profile] memdump -p [进程PID] -D [输出目录]
2. dumpfiles
作用:从内存中提取文件(如未保存的文档、临时文件)
命令: volatility -f [镜像文件] --profile=[profile] dumpfiles -D [输出目录]
四、 密码与凭证提取
1. hashdump
作用:提取 Windows 系统的 SAM 数据库中的用户密码哈希(NTLM)
命令: volatility -f [镜像文件] --profile=[profile] hashdump
2. lsadump
作用:提取 LSA 服务中的敏感凭证信息
命令: volatility -f [镜像文件] --profile=[profile] lsadump
五、 网络连接分析
1. netscan
作用:扫描内存中的网络连接、监听端口信息,可发现恶意网络通信
命令: volatility -f [镜像文件] --profile=[profile] netscan
2. connscan
作用:检测 TCP 连接信息,补充 netscan 的结果
命令: volatility -f [镜像文件] --profile=[profile] connscan
)
