【CTF】利用volatility与Gimp实现Windows内存取证

支持参数

常用参数 :

  1. -f --filename

    读取文件

  2. --profile

    指定加载某配置文件

支持插件参数

常用插件参数

  1. hashdump

    volatility -f filename --profile=windows version hashdump

    dump出镜像中用户的hash密码

  2. imageinfo

    volatility -f filename imageinfo

    获取镜像的基本信息

  3. memdump

    volatility -f filename --profile=windows version memdump -p pid

    dump指定pid进程的内存

  4. dumpfiles

    volatility -f filename --profile=windows version dumpfiles -Q offset -n -D ./

    dump指定文件,-n以文件名命名,-D指定存储位置

  5. pslist\psscan

    volatility -f filename --profile=windows version pslist

    dump出所有的进程列表

  6. filescan

    volatility -f filename --profile=windows version filescan

    dump出当前镜像下的所有文件

  7. iehistory

    volatility -f filename --profile=windows version iehistory

    dump出当前访问过iehistory历史