一、简介

Volatility是一款开源的内存取证分析工具，支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证方式。该工具是由python开发的，目前支持python2、python3环境。

二、安装

1、下载地址

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

https://github.com/volatilityfoundation/volatility3

2、安装依赖

1 、升级pip

2、安装依赖，配置环境

pip3 install -r requirements-minimal.txt

python3 setup.py build 
python3 setup.py install

3、安装依赖库

pip3 install -r requirements.txt

三、使用

1、获取系统基本信息

vol.py -f E:\检材二内存\memory windows.info

2、列出所有进程

vol.py -f E:\检材二内存\memory windows.pslist

vol.py -f E:\检材二内存\memory windows.pstree

3、dump出进程

vol.py -f E:\检材二内存\memory windows.pslist --pid 540 --dump

4、查看文件目录

vol.py -f E:\检材二内存\memory windows.filescan

5、查找指定后缀名的文件

6、到处具体文件内容（有问题）

7、查看进程命令行参数（windows.cmdline.cmdline）

进程号(PID)，进程名称(Process)和参数(Args)三列

vol.py -f E:\检材二内存\memory windows.cmdline.CmdLine

8、查看动态链接库（windows.dlllist）

vol.py -f E:\检材二内存\memory windows.dlllist

9、查看账号信息（windows.hashdump）

10、注册表数据(windows.registry.hivelist)

11、网络连接状态(windows.netscan.NetScan)

12、服务运行状态(windows.svcscan)

13、进程环境变量(windows.envars)

14、进程缓存的文件(windows.dumpfiles)