Commands:
amcache:查看Amcache应用程序痕迹信息
apihooks:检测内核及进程的内存空间中的API hook
atoms:列出会话及窗口站atom表
atomscan:Atom表的池扫描(Pool scanner)
auditpol:列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息
bigpools:使用BigPagePoolScanner转储大分页池 (big page pools)
bioskbd:从实施模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
cachedump:获取内存中缓存的域账号的密码哈希
callbacks:打印全系统通知例程
clipboard:提取Windows剪贴板中的内容
cmdline:显示进程命令行参数
cmdscan:提取执行的命令行历史记录(扫描_COMMAND_HISTORY信息)
connections:打印系统打开的网络连接(仅支持Windows XP 和2003)
connscan:打印TCP连接信息(仅支持Windows XP 和2003)
consoles:提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信 息)
crashinfo:提取崩溃转储信息
deskscan:tagDESKTOP持扫描(Poolscaner)
devicetree:显示设备树信息
dlldump:从进程地址空间转储动态链接库
dlllist:打印每个进程加载的动态链接库列表
.\volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dlllist -p
2364 查看进程相关的动态链接库
driverirp:IRP hook驱动检测
drivermodule:关联驱动对象至内核模块
driverscan:驱动对象池扫描
dumpcerts:提取RAS私钥及SSL公钥
dumpfiles:提取内存中注册表信息至磁盘
editbox:查看Edit编辑控件信息(Listbox正在实验中)
envars:显示进程的环境变量
eventhooks:打印Windows事件hook详细信息
evtlogs:提取Windows事件日志(仅支持XP/2003)
filescan:提取文件对象池信息
gahti:转储用户句柄类型信息
gditimers:打印已安装的GDI计时器及回调
gdt:显示全局描述符表
getservicesides:获取注册表的服务名称并返回SID信息
getsids:打印每个进程的SID信息
handles:打印每个进程打开的句柄的列表(句柄是一种智能的指针)
hashdump:转储内存中Windows账户密码哈希
hibinfo:转储休眠文件信息
hivedump:打印注册表配置单元信息
.\volatility.exe -f .\memdump.mem --profile=Win7SP1x64 hivedump -o 0xfffff8a000c2e010
hivelist:打印注册表配置单元列表
hivescan:注册表配置单元池扫描
hpakextract:从HPAK文件(Fast Dump格式)提取物理内存数据
hpakinfo:查看HPAK文件属性及相关信息
idt:显示中断描述符表
iehistory:重建IE缓存及访问历史记录
imagecopy:将物理地址空间导出原生DD镜像文件
imageinfo:查看识别镜像信息
impscan 扫描对导入函数的调用
joblinks:打印进程任务链接信息
kdbgscan:搜索和转储潜在KDBG值
kpcrscan:搜索和转储潜在KPCR值
ldrmodules:检测未链接的动态链接DLL
lsadump:从注册表中提取LSA密钥信息(已解密)
machoinfo:转储Mach-O文件格式信息
malfind:查找隐藏和插入的代码
mbrparser:扫描并解析潜在的主引导记录(MBR)
memdump:转储进程的可寻址内存
.\volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 memdump -p 2364 -D C:\Users\18267\Desktop
memmap:打印内存映射
messagehooks:桌面和窗口消息钩子的线程列表
mftparser:扫描并解析潜在的MFT条目
moddump:转储内核驱动程序到可执行文件的示例
modscan:内核模块池扫描
modules:打印加载模块的列表
multiscan:批量扫描各种对象
mutantscan:对互斥对象池扫描
notepad:查看记事本当前显示的文本(This command does not support the profile Win7SP1x64)
netscan:扫描网络情况
.\volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 netscan findstr javaw.exe
objtypescan:扫描窗口对象类型对象
patcher:基于页面扫描的补丁程序内存
poolpeek:可配置的池扫描器插件
printkey:打印注册表项及其子项和值
privs:显示进程权限
procdump:进程转储到一个可执行文件示例
.\volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 procdump -p 2364 -D C:\Users\18267\Desktop
pslist:按照EPROCESS列表打印所有正在运行的进程
psscan:进程对象池扫描
pstree:以树型方式打印进程列表
psxview:查找带有隐藏进程的所有进程列表
qemuinfo:转储Qemu信息
raw2dmp:将物理内存原生数据转换为windbg崩溃转储格式
screenshot:基于GDI Windows的虚拟屏幕截图保存
servicediff:Windows服务列表
sessions:_MM_SESSION_SPACE的详细信息列表(用户登录会话)
shellbags:打印shellbags信息
shimcache:解析应用程序兼容性Shim缓存注册表项
shutdowntime:从内存中的注册表信息获取机器关机时间
sockets:打印已打开套接字列表
sockscan:TCP套接字对象池扫描
ssdt:显示SSDT条目
strings:物理到虚拟地址的偏移匹配(需要一些时间,带详细信息)
svcscan:Windows服务列表扫描
symlinkscan:符号链接对象池扫描
thrdscan:线程对象池扫描
threads:调查_ETHREAD和_KTHREADs
timeliner:创建内存中的各种痕迹信息的时间线
timers:打印内核计时器及关联模块的DPC
truecryptmaster:恢复TrueCrypt 7.1a主密钥
truecryptpassphrase:查找并提取TrueCrypt密码
truecryptsummary:TrueCrype摘要信息
unloadedmodules:打印卸载的模块信息列表
userassist:打印注册表中UserAssist相关信息
userhandles:转储用户句柄表
vaddump:转储VAD数据为文件
vadinfo:转储VAD信息
vadtree:以树的形式显示VAD树信息
vadwalk:显示遍历VAD树
vboxinfo:转储Virtualbox信息(虚拟机)
verinfo:打印PE镜像中的版本信息
vmwareinfo:转储VMware VMSS/VMSN信息
volshell:内存镜像中的shell
windows:打印桌面窗口(详细信息)
wintree:Z顺序打印桌面窗口树
wndscan:池扫描窗口站
yarascan:以yara签名扫描进程或内核内存