下載安裝

官網下載即可：

https://www.volatilityfoundation.org/releases網址

Windows環境下下載軟件包

直接輸入CMD打開使用（簡單方便）

真題操練

只需將鏡像拖入

判斷未知內存鏡像系統版本信息

volatility -f 文件路徑 imageinfo

kali下解析

命令：pslist/pstree/psscan :非常有用的插件，列出轉儲時運行的進程的詳細信息；顯示過程ID，該父進程ID（PPID），線程的數目，把手的數目，日期時間時，過程開始和退出

pslist無法顯示隱藏/終止進程

導出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

任何數據都可以導出，然后進行使用

比如：導出“查看服務（svcscan）”的數據

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

Kali下

命令：hivelist：查看緩存在內存的注冊表

命令：hashdump:獲取內存中的系統密碼

volatility -f bb.raw --profile=Win7SP1x86_23418hashdump

命令：getsids：查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

計算機名稱

導出注冊表

發現SYSTEM是注冊表信息，用WRR打開

注冊表內USB

借鑒//www.doc88.com/p-9107655008710.html?r=1

打印機在注冊表中的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默認瀏覽器 注冊表

命令：查看瀏覽器歷史記錄

volatility -f D:電子取證備賽memdump.mem--profile=Win7SP1x86_23418

Kali下

命令：查看服務 svcscan

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418svcscan

建議導出查看，數據量大

命令：查看運行程序相關的記錄，比如最后一次更新時間，運行過的次數等 userassist

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 userassist

命令：查看網絡連接 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 netscan

命令：查看文件 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 filescan

建議導出查看，數據量大

命令：獲取SAM表中的用戶

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 printkey

編輯：黃飛