首先学习基础用法
1.查看系统基本信息
vol.py -f 路径 imageinfo
2.查看进程命令行
vol.py -f 路径 --profile=系统版本 cmdline
vol.py -f 路径 --profile=版本 cmdscan
3.查看进程信息
vol.py -f 路径 --profile=系统 pslist
通过树的方式返回
vol.py -f 路径 --profile=系统 pstree
4.DLL列表 动态链接库的列表
这里的命令都可以通过 -p 指定 pid
vol.py -f 路径 --profile=系统 dlllist
打印出动态链接库的具体信息
vol.py -f 路径 --profile=系统 ldrmodules
打印出更具体的内容和十六进制的值
vol.py -f 路径 --profile=系统 malfind
5.查看用户密码信息 开机密码
vol.py -f 路径 --profile=系统 hashdump
然后通过md5爆破即可
6.查看注册表信息
vol.py -f 路径 --profile=系统 printkey
查看注册表的详细信息
vol.py -f 路径 --profile=系统 hivelist
查看某个地址的注册表信息
vol.py -f 路径 --profile=系统 hivedump -o 地址
7.查看网络信息
vol.py -f 路径 --profile=系统 netscan
8.查看服务的运行
vol.py -f 路径 --profile=系统 svcscan
9.查看环境变量
vol.py -f 路径 --profile=系统 envars
10.进程缓存的文件
vol.py -f 路径 --profile=系统 filescan
11.提取出指定的进程
首先通过pslist
然后提取
vol.py -f 路径 --profile=系统 memdump -p 指定的pid -D 输出的目录
12.提取文件
首先通过filescan
然后提取
vol.py -f 路径 --profile=系统 dumpfiles -Q 指定的偏移量 -D 输出的目录
