当前位置: 首页 > news >正文

数字取证-内存取证(volatility)

news 2025/5/17 6:57:53

基础操作

查看帮助文件

volatility_2.6_win64_standalone.exe -h

内存镜像信息

volatility_2.6_win64_standalone\volatility_2.6_win64_standalone>volatility_2.6_win64_standalone.exe -f "C:\Users\xx\Desktop\victor_PC_memdump.dmp" imageinfo

查看账户

volatility_2.6_win64_standalone.exe -f "C:\Users\xx\Desktop\victor_PC_memdump.dmp" --profile=Win7SP1x64  hashdump

列出进程信息(pslist,pstree)

volatility_2.6_win64_standalone.exe -f "C:\Users\xx\Desktop\victor_PC_memdump.dmp" --profile=Win7SP1x64  pslist

动态链接库(dlllist)

volatility_2.6_win64_standalone.exe -f "C:\Users\xx\Desktop\victor_PC_memdump.dmp" --profile=Win7SP1x64  dlllist -p pid号

命令查询cmdscan cmdline concoles

http://www.xdnf.cn/news/437725.html

相关文章:

  • 使用VSCode编辑Markdown+PlantUml
  • 前端面试宝典---js垃圾回收机制
  • “海外滴滴”Uber的Arm迁移实录:重构大规模基础设施​
  • 知识图谱重构电商搜索:下一代AI搜索引擎的底层逻辑
  • 广东省省考备考(第十天5.14)—言语(第三节课)
  • deepseek梳理java高级开发工程师算法面试题
  • C++23 中的 ranges::starts_with 与 ranges::ends_with
  • Go语言中的函数类型参数:深入理解`func()`
  • 编程日志5.6
  • 比亚迪固态电池突破:王传福的技术哲学与产业重构|创客匠人热点评述
  • 部署安装gitlab-ce-17.9.7-ce.0.el8.x86_64.rpm
  • PyQt5基本窗口控件(QComboBox(下拉列表框))
  • AI开发者的算力革命:GpuGeek平台全景实战指南(大模型训练/推理/微调全解析)
  • 注解和 XML 两种方式有什么区别?
  • hudi + flinksql 处理 金额汇总的实时场景
  • Flink实时统计任务CPU异常排查与解决方案
  • Thrust库中的Gather和Scatter操作
  • 【​​HTTPS基础概念与原理​】​​HTTPS vs HTTP:为什么现代网站必须用HTTPS?
  • 元宇宙赛道新势力:成都芯谷产业园创新业务如何重构产业格局
  • 5.18-AI分析师
  • 【RabbitMq C++】消息队列组件
  • 人工智能外呼系统:重构智能交互的全维度进化
  • ORACLE查看归档是否打开
  • 海量数据Top k 与查重问题
  • JavaScript篇:揭秘函数式与命令式编程的思维碰撞
  • 基于Python的量化交易实盘部署与风险管理指南
  • XD08M3232接近感应单片机的接近感应模块的工作原理
  • VTK|类似CloudCompare的比例尺实现2-vtk实现
  • DML和DQL
  • 基于 GPUGEEK平台进行vLLM环境部署DeepSeek-R1-70B