标签：插件 ZKSS volatility3 windows dd py Windows7 2018

volatility3和volatility有很大的区别

查看镜像信息，volatility会进行分析python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.info

查看进程python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.pslist或者python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.pstree

列出缓冲池python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.bigpools.BigPools

转储密码python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.cachedump.Cachedump，不过我这边没有成功，不知道原因

调出内存回调python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.callbacks.Callbacks

查看进程命令行参数python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.cmdline.CmdLine

不知道是干啥的，手册里没有给出描述，运行也报错python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.crashinfo.Crashinfo

列出设备，乱码python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.devicetree.DeviceTree

列出dllpython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.dlllist.DllList

列出驱动的irppython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.driverirp.DriverIrp

扫描驱动python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.drivescan.DriverScan

转储文件python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.dumpfiles.DumpFiles

列出进程的环境变量python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.envars.Envars

扫描文件python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.filescan.FileScan还是有乱码，可能是编码问题

列出tokensidpython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.getservicesids.GetServiceSIDs

列出每个进程的sidpython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.getsids.GetSIDs

列出进程句柄python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.handles.Handles

列出用户哈希python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.hashdump.Hashdump不过我这个镜像没有

转储lsa密码，与cache类似python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.lsadump.Lsadump

列出可能包含注入代码的进程内存范围python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.malfind.Malfind

扫描并分析潜在的主引导记录python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mbrscan.MBRScan

输出内存映射python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.memmap.Memmap

扫描特定windows内存映像python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mftscan.MFTScan

扫描模块python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.modscan.ModScan

列出加载的内核模块python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.modules.Modules

扫描互斥的mutexpython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.mutantscan.MutantScan

扫描网络对象python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.netscan.NetScan

输出网络状态python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.netstat.NetStat

通用池扫描程序插件python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.poolscanner.PoolScanner

列出进程token权限python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.privileges.Privs

扫描进程python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.psscan.PsScan

列出注册表证书存储中的证书python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.certificates.Certificates

列出注册表配置单元python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.hivelist.HiveList

扫描注册表配置单元python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.hivescan.HiveScan

列出配置单元或特定键值下的注册表项python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.printkey.PrintKey

打印userassist注册表项和信息python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.registry.userassist.UserAssist

列出从环境变量中提取会话信息的流程python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.sessions.Sessions

查找骨架键恶意软件的迹象python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.skeleton_key_check.Skeleton_Key_Check无结果

列出系统调用表python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.ssdt.SSDT

读取strings命令的输出，并指示每个字符串属于哪个进程python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.strings.Strings不会用

扫描服务python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.svcscan.SvcScan

扫描链接python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.symlinkscan.SymlinkScan乱码

列出进程内存范围python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.vadinfo.VadInfo

使用yara扫描所有虚拟地址描述符内存映射python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.vadyarascan.VadYaraScan报错

列出PE文件中的版本信息python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.verinfo.VerInfo

列出虚拟映射sessionpython vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.virtmap.VirtMap

标签：插件,ZKSS,volatility3,windows,dd,py,Windows7,2018
来源： https://www.cnblogs.com/WXjzc/p/16294973.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。